Loi sur la cyber-résilience

RÈGLEMENT (UE) 2024/2847 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 23 octobre 2024 con­cer­nant des exi­gen­ces hori­zon­ta­les de cyber­sé­cu­ri­té appli­ca­bles aux pro­duits com­portant des élé­ments numé­ri­ques et modi­fi­ant les règle­ments (UE) n° 168/2013 et (UE) 2019/1020 et la direc­ti­ve (UE) 2020/1828 (règle­ment sur la cyberrésilience)

déplier | replier
Con­sidé­rants
(1) La cyber­sé­cu­ri­té repré­sen­te l’un des plus grands défis pour l’U­ni­on. Le nombre et la diver­si­té des appareils con­nec­tés vont aug­men­ter de maniè­re expo­nen­ti­el­le dans les années à venir. Les cyberat­ta­ques sont une que­sti­on d’in­té­rêt public, car elles ont un impact cri­tique non seu­le­ment sur l’é­co­no­mie de l’U­ni­on, mais aus­si sur la démo­cra­tie ain­si que sur la sécu­ri­té et la san­té des con­som­ma­teurs. Il est donc néces­saire de ren­forcer l’appro­che de l’U­ni­on en matiè­re de cyber­sé­cu­ri­té, de trai­ter la cyber­ré­si­li­ence au niveau de l’U­ni­on et d’a­mé­lio­rer le fonc­tion­ne­ment du mar­ché inté­ri­eur en éta­blis­sant un cad­re juri­di­que uni­que pour les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té appli­ca­bles à la mise sur le mar­ché de l’U­ni­on de pro­duits con­tenant des élé­ments numé­ri­ques. Il s’a­gi­rait de s’at­ta­quer à deux pro­blè­mes majeurs qui ent­raî­nent des coûts éle­vés pour les uti­li­sa­teurs et la socié­té : un fai­ble niveau de cyber­sé­cu­ri­té des pro­duits con­tenant des élé­ments numé­ri­ques, qui se tra­duit par des vul­né­ra­bi­li­tés géné­ra­li­sées et la four­ni­tu­re insuf­fi­san­te et incohé­ren­te de mises à jour de sécu­ri­té pour y remé­dier, et une com­pré­hen­si­on et un accès à l’in­for­ma­ti­on insuf­fi­sants des uti­li­sa­teurs, qui les empêchent de choi­sir ou d’uti­li­ser en tou­te sécu­ri­té des pro­duits pré­sen­tant des carac­té­ri­sti­ques de cyber­sé­cu­ri­té appropriées.
(2) Le pré­sent règle­ment vise à cré­er un cad­re pour le déve­lo­p­pe­ment de pro­duits sûrs con­tenant des élé­ments numé­ri­ques, afin que les pro­duits maté­ri­els et logi­ciels mis sur le mar­ché pré­sen­tent moins de vul­né­ra­bi­li­tés et que les fab­ri­cants se pré­oc­cup­ent sys­té­ma­ti­quement de la sécu­ri­té tout au long du cycle de vie d’un pro­duit. Il vise éga­le­ment à cré­er des con­di­ti­ons per­met­tant aux uti­li­sa­teurs de tenir comp­te de la cyber­sé­cu­ri­té lorsqu’ils choi­sis­sent et uti­li­sent des pro­duits inté­grant des élé­ments numé­ri­ques, par exemp­le en amé­lio­rant la trans­pa­rence en ce qui con­cer­ne la péri­ode de pri­se en char­ge des pro­duits inté­grant des élé­ments numé­ri­ques mis à dis­po­si­ti­on sur le marché.
(3) La légis­la­ti­on de l’U­ni­on en vigueur dans ce domaine com­prend plu­sieurs dis­po­si­ti­ons hori­zon­ta­les qui régis­sent cer­ta­ins aspects de la cyber­sé­cu­ri­té sous dif­fér­ents angles, y com­pris des mesu­res visa­nt à ren­forcer la sécu­ri­té de la chaî­ne d’ap­pro­vi­si­on­ne­ment numé­ri­que. Tou­te­fois, la légis­la­ti­on exi­stan­te de l’U­ni­on en matiè­re de cyber­sé­cu­ri­té, notam­ment le règle­ment (UE) 2019/881 du Par­le­ment euro­pé­en et du Con­seil (3 ) et la direc­ti­ve (UE) 2022/2555 du Par­le­ment euro­pé­en et du Con­seil (4 ), ne pré­voit pas d’e­xi­gen­ces direc­te­ment con­traignan­tes pour la sécu­ri­té des pro­duits con­tenant des élé­ments numériques.
(4) Bien que la légis­la­ti­on exi­stan­te de l’U­ni­on s’ap­pli­que à cer­ta­ins pro­duits con­tenant des élé­ments numé­ri­ques, il n’e­xi­ste pas de cad­re juri­di­que hori­zon­tal de l’U­ni­on qui fixerait des exi­gen­ces glo­ba­les en matiè­re de cyber­sé­cu­ri­té pour tous les pro­duits con­tenant des élé­ments numé­ri­ques. Les dif­fé­ren­tes règles et initia­ti­ves adop­tées jus­qu’à pré­sent au niveau de l’U­ni­on et au niveau natio­nal ne trai­tent que par­ti­el­le­ment les pro­blè­mes et les ris­ques iden­ti­fi­és en matiè­re de cyber­sé­cu­ri­té, ce qui a créé un patch­work légis­la­tif au sein du mar­ché inté­ri­eur, ent­raînant une plus gran­de insé­cu­ri­té juri­di­que tant pour les fab­ri­cants que pour les uti­li­sa­teurs de ces pro­duits, et une plus gran­de char­ge inu­tile pour les ent­re­pri­ses et les orga­ni­sa­ti­ons qui doi­vent satis­fai­re à une série d’e­xi­gen­ces et d’ob­li­ga­ti­ons dif­fé­ren­tes con­cer­nant des types de pro­duits simi­lai­res. La cyber­sé­cu­ri­té de ces pro­duits a une dimen­si­on trans­fron­ta­liè­re par­ti­cu­liè­re­ment mar­quée, car les pro­duits con­tenant des élé­ments numé­ri­ques fab­ri­qués dans un État membre ou dans un pays tiers sont sou­vent uti­li­sés par des orga­ni­sa­ti­ons et des con­som­ma­teurs dans l’en­sem­ble du mar­ché inté­ri­eur. Il est donc néces­saire de régle­men­ter ce domaine au niveau de l’U­ni­on afin d’assurer un cad­re juri­di­que har­mo­ni­sé et la sécu­ri­té juri­di­que pour les uti­li­sa­teurs, les orga­ni­sa­ti­ons et les ent­re­pri­ses, y com­pris les micro, peti­tes et moy­ennes ent­re­pri­ses, tel­les que défi­nies à l’an­ne­xe de la recom­man­da­ti­on 2003/361/CE de la Com­mis­si­on (5). L’en­vi­ron­ne­ment régle­men­tai­re de l’U­ni­on dev­rait être har­mo­ni­sé par l’in­tro­duc­tion d’e­xi­gen­ces hori­zon­ta­les de cyber­sé­cu­ri­té pour les pro­duits con­tenant des élé­ments numé­ri­ques. Il con­vi­ent éga­le­ment d’assurer la sécu­ri­té juri­di­que des opé­ra­teurs éco­no­mi­ques et des uti­li­sa­teurs dans l’en­sem­ble de l’U­ni­on, ain­si qu’u­ne meil­leu­re har­mo­ni­sa­ti­on du mar­ché inté­ri­eur et la pro­por­ti­on­na­li­té pour les microentre­pri­ses et les peti­tes et moy­ennes ent­re­pri­ses, ce qui cré­erait éga­le­ment de meil­leu­res con­di­ti­ons pour les opé­ra­teurs éco­no­mi­ques qui sou­hai­tent ent­rer sur ce marché.
(5) En ce qui con­cer­ne les micro, peti­tes et moy­ennes ent­re­pri­ses, les dis­po­si­ti­ons de l’an­ne­xe de la recom­man­da­ti­on 2003/361/CE dev­rai­ent être plei­ne­ment appli­quées pour déter­mi­ner la caté­go­rie à laquel­le appar­tient une ent­re­pri­se. Par con­sé­quent, lors du cal­cul de l’ef­fec­tif et des seuils finan­ciers pour déter­mi­ner les types d’entre­pri­ses, il con­vi­ent éga­le­ment d’ap­pli­quer les dis­po­si­ti­ons de l’ar­tic­le 6 de l’an­ne­xe de la recom­man­da­ti­on 2003/361/CE con­cer­nant l’é­ta­blis­se­ment des don­nées d’u­ne ent­re­pri­se en ce qui con­cer­ne cer­ta­ins types d’entre­pri­ses, tel­les que les ent­re­pri­ses par­ten­aires ou les ent­re­pri­ses liées.
(6) La Com­mis­si­on dev­rait four­nir des lignes direc­tri­ces afin d’ai­der les opé­ra­teurs éco­no­mi­ques, en par­ti­cu­lier les micro, peti­tes et moy­ennes ent­re­pri­ses, à appli­quer le pré­sent règle­ment. Ces lignes direc­tri­ces dev­rai­ent cou­vr­ir, ent­re aut­res, le champ d’ap­pli­ca­ti­on du pré­sent règle­ment, notam­ment le trai­te­ment des don­nées à distance et son inci­dence sur les déve­lo­p­peurs de logi­ciels libres et à code source ouvert, l’ap­pli­ca­ti­on des critères de fix­a­ti­on des péri­odes de sou­ti­en pour les pro­duits con­tenant des élé­ments numé­ri­ques, l’in­ter­ac­tion ent­re le pré­sent règle­ment et d’aut­res tex­tes légis­la­tifs de l’U­ni­on et la que­sti­on de savoir ce qui con­sti­tue une modi­fi­ca­ti­on substantielle.
(7) Au niveau de l’U­ni­on, plu­sieurs docu­ments pro­gram­ma­ti­ques et poli­ti­ques, tels que la com­mu­ni­ca­ti­on con­join­te de la Com­mis­si­on et du haut repré­sen­tant de l’U­ni­on pour les affai­res étran­gè­res et la poli­tique de sécu­ri­té du 16 décembre 2020 inti­tulée “Stra­té­gie de cyber­sé­cu­ri­té de l’UE pour la décen­nie numé­ri­que”, les con­clu­si­ons du Con­seil sur la cyber­sé­cu­ri­té des dis­po­si­tifs con­nec­tés du 2 décembre 2020 et les con­clu­si­ons du Con­seil sur la cyber­sé­cu­ri­té des dis­po­si­tifs con­nec­tés du 2 décembre 2020, ont été adop­tés. Le Con­seil a deman­dé que des exi­gen­ces spé­ci­fi­ques de l’U­ni­on en matiè­re de cyber­sé­cu­ri­té soi­ent impo­sées aux pro­duits numé­ri­ques ou en réseau, con­for­mé­ment aux con­clu­si­ons du Con­seil sur le déve­lo­p­pe­ment de la cyber­dé­fen­se de l’U­ni­on euro­pé­en­ne du 23 décembre 2020 et à la réso­lu­ti­on du Par­le­ment euro­pé­en du 10 juin 2021 sur la stra­té­gie de cyber­sé­cu­ri­té de l’UE pour la décen­nie numé­ri­que (6) ; par­al­lè­le­ment, plu­sieurs pays tiers ont pris des mesu­res pour s’at­ta­quer à ce pro­blè­me de leur pro­pre initia­ti­ve. Dans le rap­port final de la con­fé­rence sur l’a­ve­nir de l’Eu­ro­pe, les citoy­ens ont deman­dé “un rôle accru de l’UE dans la lut­te cont­re les men­aces de cyber­sé­cu­ri­té”. Pour que l’U­ni­on pui­s­se jouer un rôle de pre­mier plan au niveau inter­na­tio­nal dans le domaine de la cyber­sé­cu­ri­té, il est important de mett­re en place un cad­re juri­di­que ambitieux.
(8) Afin d’a­mé­lio­rer le niveau glo­bal de cyber­sé­cu­ri­té de tous les pro­duits con­tenant des élé­ments numé­ri­ques mis sur le mar­ché inté­ri­eur, il est néces­saire d’in­tro­dui­re des exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té objec­ti­ves et tech­no­lo­gi­quement neutres pour ces pro­duits, qui s’ap­pli­que­ront ensuite horizontalement.
(9) Tous les pro­duits con­tenant des élé­ments numé­ri­ques inté­g­rés ou con­nec­tés à un système d’in­for­ma­ti­on élec­tro­ni­que plus lar­ge peu­vent, dans cer­tai­nes cir­con­stances, ser­vir de vec­teur d’at­taque à des acteurs mal­veil­lants. Par con­sé­quent, même un maté­ri­el et un logi­ciel con­sidé­rés com­me moins cri­ti­ques peu­vent faci­li­ter la com­pro­mis­si­on initia­le d’un appa­reil ou d’un réseau et per­mett­re à des acteurs mal­veil­lants d’ob­te­nir un accès pri­vilé­gié à un système ou de se dépla­cer sur l’en­sem­ble du système. Les fab­ri­cants doi­vent donc veil­ler à ce que tous les pro­duits con­tenant des élé­ments numé­ri­ques soi­ent con­çus et déve­lo­p­pés con­for­mé­ment aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té défi­nies dans le pré­sent règle­ment. Cet­te obli­ga­ti­on con­cer­ne à la fois les pro­duits qui peu­vent être con­nec­tés phy­si­quement par des inter­faces maté­ri­el­les et les pro­duits qui sont con­nec­tés logi­quement, par exemp­le par des sockets de réseau, des pipes, des fichiers, des inter­faces de pro­gram­ma­ti­on d’ap­pli­ca­ti­ons ou d’aut­res types d’in­ter­faces logi­ciel­les. Étant don­né que les cyber­men­aces peu­vent se pro­pa­ger à tra­vers dif­fér­ents pro­duits numé­ri­ques avant d’att­eind­re une cib­le spé­ci­fi­que, par exemp­le par l’en­chaî­ne­ment de plu­sieurs vul­né­ra­bi­li­tés explo­ita­bles, les fab­ri­cants dev­rai­ent éga­le­ment assurer la cyber­sé­cu­ri­té des pro­duits numé­ri­ques qui ne sont con­nec­tés qu’in­di­rec­te­ment à d’aut­res équi­pe­ments ou réseaux.
(10) La défi­ni­ti­on d’e­xi­gen­ces de cyber­sé­cu­ri­té pour la mise sur le mar­ché de pro­duits con­tenant des élé­ments numé­ri­ques vise à amé­lio­rer la cyber­sé­cu­ri­té de ces pro­duits, tant pour les con­som­ma­teurs que pour les ent­re­pri­ses. Ces exi­gen­ces garan­tis­sent éga­le­ment que la cyber­sé­cu­ri­té est pri­se en comp­te tout au long de la chaî­ne d’ap­pro­vi­si­on­ne­ment, rendant ain­si les pro­duits finaux con­tenant des élé­ments numé­ri­ques et leurs com­po­sants plus sûrs. Cela con­cer­ne éga­le­ment les exi­gen­ces rela­ti­ves à la mise sur le mar­ché de pro­duits de con­som­ma­ti­on con­tenant des élé­ments numé­ri­ques et desti­nés aux con­som­ma­teurs vul­né­ra­bles, tels que les jou­ets et les systè­mes de sur­veil­lan­ce pour bébés. Les pro­duits de con­som­ma­ti­on inté­grant des élé­ments numé­ri­ques, clas­sés dans le pré­sent règle­ment com­me pro­duits importants inté­grant des élé­ments numé­ri­ques, pré­sen­tent un ris­que plus éle­vé en matiè­re de cyber­sé­cu­ri­té, étant don­né que leurs fonc­tions com­portent un ris­que important d’ef­fets néga­tifs en ter­mes de por­tée et d’att­ein­te poten­ti­el­le à la san­té, à la sécu­ri­té ou à l’in­té­gri­té des uti­li­sa­teurs de ces pro­duits, et dev­rai­ent être sou­mis à une pro­cé­du­re d’éva­lua­ti­on de la con­for­mi­té plus stric­te. C’est le cas des pro­duits tels que les appareils ména­gers intel­li­gents dotés de fonc­tions de sécu­ri­té, y com­pris les serr­ures de por­te intel­li­gen­tes, les systè­mes de sur­veil­lan­ce de bébé et les alar­mes, les jou­ets con­nec­tés et les dis­po­si­tifs médi­caux por­tés sur le corps (weara­bles). En out­re, les pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té plus stric­tes aux­quel­les doi­vent être sou­mis les aut­res pro­duits con­tenant des élé­ments numé­ri­ques, clas­sés com­me pro­duits importants ou cri­ti­ques con­tenant des élé­ments numé­ri­ques dans le pré­sent règle­ment, con­tri­bue­ront à pré­ve­nir tout effet néga­tif sur les con­som­ma­teurs qui pour­rait résul­ter de l’ex­plo­ita­ti­on de points faibles.
(11) Le pré­sent règle­ment vise à assurer un niveau éle­vé de cyber­sé­cu­ri­té des pro­duits numé­ri­ques et de leurs solu­ti­ons inté­g­rées de trai­te­ment de l’in­for­ma­ti­on à distance. Ces solu­ti­ons de trai­te­ment de don­nées à distance doi­vent être défi­nies com­me un trai­te­ment de don­nées à distance pour lequel un logi­ciel est con­çu et déve­lo­p­pé par le fab­ri­cant du pro­duit numé­ri­que lui-même ou sous sa responsa­bi­li­té, et sans lequel le pro­duit numé­ri­que ne pour­rait rem­plir l’u­ne de ses fonc­tions. Cela per­met de garan­tir que ces pro­duits, dans leur ensem­ble, sont cor­rec­te­ment sécu­ri­sés par leurs fab­ri­cants, que les don­nées soi­ent trai­tées ou stockées loca­le­ment sur l’ap­pa­reil de l’uti­li­sa­teur ou à distance par le fab­ri­cant. Par­al­lè­le­ment, le trai­te­ment ou le stocka­ge à distance n’ent­re dans le champ d’ap­pli­ca­ti­on du pré­sent règle­ment que dans la mesu­re où il est néces­saire pour qu’un pro­duit con­tenant des élé­ments numé­ri­ques pui­s­se rem­plir ses fonc­tions. Un tel trai­te­ment ou stocka­ge à distance se pro­duit lorsqu’u­ne appli­ca­ti­on mobi­le néces­si­te l’ac­cès à une inter­face de pro­gram­ma­ti­on d’ap­pli­ca­ti­on ou à une base de don­nées four­nie par un ser­vice déve­lo­p­pé par le fab­ri­cant. Dans ce cas, le ser­vice relè­ve du champ d’ap­pli­ca­ti­on du pré­sent règle­ment en tant que solu­ti­on de trai­te­ment de don­nées à distance. Les exi­gen­ces appli­ca­bles aux solu­ti­ons de trai­te­ment de don­nées à distance rele­vant du champ d’ap­pli­ca­ti­on du pré­sent règle­ment n’in­clu­ent donc pas de mesu­res tech­ni­ques, opé­ra­ti­on­nel­les ou orga­ni­sa­ti­on­nel­les visa­nt à maîtri­ser les ris­ques pour la sécu­ri­té des réseaux et des systè­mes d’in­for­ma­ti­on du fab­ri­cant dans son ensemble.
(12) Les solu­ti­ons d’in­for­ma­tique en nuage ne sont con­sidé­rées com­me des solu­ti­ons de trai­te­ment de don­nées à distance aux fins du pré­sent règle­ment que si elles répon­dent à la défi­ni­ti­on don­née dans le pré­sent règle­ment. Par exemp­le, les fonc­tion­na­li­tés en nuage pro­po­sées par le fab­ri­cant d’ap­pareils élec­tro­mé­na­gers intel­li­gents, qui per­met­tent aux uti­li­sa­teurs de con­trô­ler l’ap­pa­reil à distance, relè­vent du champ d’ap­pli­ca­ti­on du pré­sent règle­ment. En revan­che, les sites web qui ne pren­nent pas en char­ge la fonc­tion­na­li­té d’un pro­duit con­tenant des élé­ments numé­ri­ques ou les ser­vices en nuage con­çus et déve­lo­p­pés en dehors de la responsa­bi­li­té d’un fab­ri­cant de pro­duits con­tenant des élé­ments numé­ri­ques ne relè­vent pas du champ d’ap­pli­ca­ti­on du pré­sent règle­ment. La direc­ti­ve (UE) 2022/2555 s’ap­pli­que aux ser­vices d’in­for­ma­tique en nuage et aux modè­les de ser­vices en nuage tels que SaaS (Soft­ware as a Ser­vice), PaaS (Plat­form as a Ser­vice) ou IaaS (Infras­truc­tu­re as a Ser­vice). Les enti­tés qui four­nis­sent des ser­vices d’in­for­ma­tique en nuage dans l’U­ni­on et qui sont con­sidé­rées com­me des ent­re­pri­ses de tail­le moy­enne con­for­mé­ment à l’ar­tic­le 2 de l’an­ne­xe de la recom­man­da­ti­on 2003/361/CE ou qui dépas­sent les seuils fixés pour les ent­re­pri­ses de tail­le moy­enne au para­gra­phe 1 dudit artic­le relè­vent du champ d’ap­pli­ca­ti­on de ladi­te directive.
(13) Con­for­mé­ment à l’ob­jec­tif du pré­sent règle­ment, qui est d’é­li­mi­ner les obs­ta­cles à la lib­re cir­cula­ti­on des pro­duits con­tenant des élé­ments numé­ri­ques, les États mem­bres ne doi­vent pas, dans les domain­es cou­verts par le pré­sent règle­ment, ent­ra­ver la mise à dis­po­si­ti­on sur le mar­ché de pro­duits con­tenant des élé­ments numé­ri­ques qui sont con­for­mes au pré­sent règle­ment. Dans les domain­es har­mo­ni­sés par le pré­sent règle­ment, les États mem­bres ne peu­vent donc pas impo­ser d’e­xi­gen­ces de cyber­sé­cu­ri­té sup­p­lé­men­tai­res pour la mise à dis­po­si­ti­on sur le mar­ché de pro­duits con­tenant des élé­ments numé­ri­ques. Tou­te­fois, tou­te enti­té publi­que ou pri­vée peut défi­nir des exi­gen­ces sup­p­lé­men­tai­res pour l’ac­qui­si­ti­on ou l’uti­li­sa­ti­on de pro­duits con­tenant des élé­ments numé­ri­ques à des fins qui lui sont pro­pres, en plus de cel­les pré­vues par le pré­sent règle­ment, et peut donc choi­sir d’uti­li­ser des pro­duits con­tenant des élé­ments numé­ri­ques qui satis­font à des exi­gen­ces de cyber­sé­cu­ri­té plus stric­tes ou plus spé­ci­fi­ques que cel­les qui s’ap­pli­quent à leur mise à dis­po­si­ti­on sur le mar­ché con­for­mé­ment au pré­sent règle­ment. Sans pré­ju­di­ce des direc­ti­ves 2014/24/UE (7) et 2014/25/UE (8) du Par­le­ment euro­pé­en et du Con­seil, lorsqu’ils se pro­cu­rent des pro­duits con­tenant des élé­ments numé­ri­ques qui doi­vent être con­for­mes aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té éta­b­lies par le pré­sent règle­ment, y com­pris cel­les rela­ti­ves à la gesti­on des ris­ques de sécu­ri­té, les États mem­bres dev­rai­ent veil­ler à ce que ces exi­gen­ces soi­ent pri­ses en comp­te dans le pro­ce­s­sus d’achat et à ce que soit éga­le­ment con­sidé­rée la capa­ci­té des fab­ri­cants à appli­quer effi­ca­ce­ment des mesu­res de cyber­sé­cu­ri­té et à fai­re face aux cyber­men­aces. En out­re, la direc­ti­ve (UE) 2022/2555 éta­blit des mesu­res de gesti­on des ris­ques en matiè­re de cyber­sé­cu­ri­té pour les enti­tés essen­ti­el­les et importan­tes au sens de l’ar­tic­le 3 de ladi­te direc­ti­ve, qui pour­rai­ent com­prend­re des mesu­res de sécu­ri­té de la chaî­ne d’ap­pro­vi­si­on­ne­ment exi­geant que ces enti­tés uti­li­sent des pro­duits con­tenant des élé­ments numé­ri­ques répond­ant à des exi­gen­ces de cyber­sé­cu­ri­té plus stric­tes que cel­les éta­b­lies par le pré­sent règle­ment. Con­for­mé­ment à la direc­ti­ve (UE) 2022/2555 et à son prin­ci­pe d’har­mo­ni­sa­ti­on mini­ma­le, les États mem­bres peu­vent donc impo­ser des exi­gen­ces sup­p­lé­men­tai­res en matiè­re de cyber­sé­cu­ri­té pour l’uti­li­sa­ti­on de pro­duits des tech­no­lo­gies de l’in­for­ma­ti­on et de la com­mu­ni­ca­ti­on (TIC) par des enti­tés essen­ti­el­les ou importan­tes visées par ladi­te direc­ti­ve, afin de garan­tir un niveau de cyber­sé­cu­ri­té plus éle­vé, pour autant que ces exi­gen­ces soi­ent con­for­mes aux obli­ga­ti­ons des États mem­bres pré­vues par le droit de l’U­ni­on. Les aspects non cou­verts par le pré­sent règle­ment peu­vent éga­le­ment inclu­re des fac­teurs non tech­ni­ques liés aux pro­duits con­tenant des élé­ments numé­ri­ques et à leurs fab­ri­cants. Les États mem­bres peu­vent donc adop­ter des mesu­res natio­na­les, y com­pris des rest­ric­tions appli­ca­bles aux pro­duits con­tenant des élé­ments numé­ri­ques ou aux four­nis­seurs de ces pro­duits, qui tien­nent comp­te des fac­teurs non tech­ni­ques. Les mesu­res natio­na­les rela­ti­ves à ces fac­teurs doi­vent être com­pa­ti­bles avec le droit de l’Union.
(14) Le pré­sent règle­ment ne dev­rait pas por­ter att­ein­te à la responsa­bi­li­té des États mem­bres en matiè­re de sécu­ri­té natio­na­le, con­for­mé­ment au droit de l’U­ni­on. Les États mem­bres dev­rai­ent pou­voir impo­ser des spé­ci­fi­ca­ti­ons sup­p­lé­men­tai­res aux pro­duits con­tenant des élé­ments numé­ri­ques qui sont acquis ou uti­li­sés à des fins de sécu­ri­té natio­na­le ou de défen­se, à con­di­ti­on que ces spé­ci­fi­ca­ti­ons soi­ent con­for­mes aux obli­ga­ti­ons des États mem­bres pré­vues par le droit de l’Union.
(15) Le pré­sent règle­ment ne s’ap­pli­que aux opé­ra­teurs éco­no­mi­ques qu’en ce qui con­cer­ne les pro­duits con­tenant des élé­ments numé­ri­ques qui sont mis à dis­po­si­ti­on sur le mar­ché, c’est-à-dire four­nis dans le cad­re d’u­ne acti­vi­té com­mer­cia­le en vue de leur dis­tri­bu­ti­on ou de leur uti­li­sa­ti­on sur le mar­ché de l’U­ni­on. Une four­ni­tu­re dans le cad­re d’u­ne acti­vi­té com­mer­cia­le peut être carac­té­ri­sée non seu­le­ment par le fait qu’un prix est deman­dé pour un pro­duit con­tenant des élé­ments numé­ri­ques, mais aus­si par le fait qu’u­ne rému­n­é­ra­ti­on est deman­dée pour des ser­vices d’as­si­stance tech­ni­que qui ne ser­vent pas uni­quement à cou­vr­ir les coûts réels, qu’il exi­ste une inten­ti­on de réa­li­ser un pro­fit, par exemp­le en four­nis­sant une pla­te­for­me logi­ciel­le, par l’in­ter­mé­di­ai­re de laquel­le le fab­ri­cant pro­po­se d’aut­res ser­vices dans un but lucra­tif, ou en exi­geant com­me con­di­ti­on d’uti­li­sa­ti­on le trai­te­ment de don­nées à carac­tère per­son­nel à des fins aut­res que la seu­le amé­lio­ra­ti­on de la sécu­ri­té, de la com­pa­ti­bi­li­té ou de l’in­teropé­ra­bi­li­té du logi­ciel, ou en accep­tant des dons dépas­sant les coûts liés à la con­cep­ti­on, au déve­lo­p­pe­ment et à la four­ni­tu­re d’un pro­duit con­tenant des élé­ments numé­ri­ques. L’ac­cep­t­ati­on de dons sans but lucra­tif ne doit pas être con­sidé­rée com­me une acti­vi­té commerciale.
(16) Les pro­duits con­tenant des élé­ments numé­ri­ques qui sont four­nis dans le cad­re de la pre­sta­ti­on d’un ser­vice pour lequel une rede­van­ce est per­çue uni­quement pour cou­vr­ir les coûts réels direc­te­ment liés au fonc­tion­ne­ment de ce ser­vice, com­me cela peut être le cas pour cer­ta­ins pro­duits con­tenant des élé­ments numé­ri­ques four­nis par des orga­nis­mes de l’ad­mi­ni­stra­ti­on publi­que, ne dev­rai­ent pas, pour ces seu­les rai­sons, être con­sidé­rés com­me faisant par­tie d’u­ne acti­vi­té com­mer­cia­le au sens du pré­sent règle­ment. En out­re, les pro­duits con­tenant des élé­ments numé­ri­ques qui sont déve­lo­p­pés ou modi­fi­és par un orga­nis­me d’ad­mi­ni­stra­ti­on publi­que pour ses seuls beso­ins pro­pres ne dev­rai­ent pas être con­sidé­rés com­me étant mis à dis­po­si­ti­on sur le mar­ché aux fins du pré­sent règlement.
(17) Les logi­ciels et les don­nées qui sont par­ta­gés de maniè­re ouver­te et aux­quels les uti­li­sa­teurs peu­vent accé­der, uti­li­ser, modi­fier et redis­tri­buer libre­ment, y com­pris sous une for­me modi­fi­ée, peu­vent con­tri­buer à la recher­che et à l’in­no­va­ti­on sur le mar­ché. Afin d’en­cou­ra­ger le déve­lo­p­pe­ment et l’uti­li­sa­ti­on de logi­ciels libres et à code source ouvert, notam­ment par les microentre­pri­ses et les peti­tes et moy­ennes ent­re­pri­ses, y com­pris les start-ups, les par­ti­cu­liers, les orga­ni­sa­ti­ons à but non lucra­tif et les éta­blis­se­ments de recher­che uni­ver­si­taires, l’ap­pli­ca­ti­on du pré­sent règle­ment aux pro­duits con­tenant des élé­ments numé­ri­ques qui sont con­sidé­rés com­me des logi­ciels libres et à code source ouvert et qui sont mis à dis­po­si­ti­on en vue de leur dis­tri­bu­ti­on ou de leur uti­li­sa­ti­on dans le cad­re d’u­ne acti­vi­té com­mer­cia­le dev­rait tenir comp­te des types des dif­fér­ents modè­les de déve­lo­p­pe­ment de logi­ciels dis­tri­bués et déve­lo­p­pés dans le cad­re de licen­ces de logi­ciels libres et à code source ouvert.
(18) Par logi­ciel lib­re et à code source ouvert, on entend un logi­ciel dont le code source est par­ta­gé de maniè­re ouver­te et dont la licence pré­voit tous les droits néces­saires pour le rend­re libre­ment acce­s­si­ble, uti­li­sable, modi­fia­ble et redis­tri­buable. Les logi­ciels libres et à code source ouvert sont déve­lo­p­pés, main­te­nus et dis­tri­bués de maniè­re ouver­te, y com­pris via des pla­te­for­mes en ligne. En ce qui con­cer­ne les opé­ra­teurs éco­no­mi­ques rele­vant du champ d’ap­pli­ca­ti­on du pré­sent règle­ment, seuls les logi­ciels libres et à code source ouvert mis à dis­po­si­ti­on sur le mar­ché et donc dis­po­ni­bles pour être dis­tri­bués ou uti­li­sés dans le cad­re d’u­ne acti­vi­té com­mer­cia­le dev­rai­ent rele­ver du champ d’ap­pli­ca­ti­on du pré­sent règle­ment. Les simp­les cir­con­stances dans les­quel­les le pro­duit a été déve­lo­p­pé avec des élé­ments numé­ri­ques ou la maniè­re dont le déve­lo­p­pe­ment a été finan­cé ne dev­rai­ent donc pas être pri­ses en comp­te pour déter­mi­ner le carac­tère com­mer­cial ou non com­mer­cial de l’ac­ti­vi­té cor­re­spond­an­te. En par­ti­cu­lier, aux fins du pré­sent règle­ment et en ce qui con­cer­ne les opé­ra­teurs éco­no­mi­ques rele­vant de son champ d’ap­pli­ca­ti­on, la four­ni­tu­re de pro­duits con­tenant des élé­ments numé­ri­ques qui sont clas­sés com­me logi­ciels libres et open source et qui ne sont pas moné­ti­sés par leurs fab­ri­cants ne dev­rait pas être con­sidé­rée com­me une acti­vi­té com­mer­cia­le, afin de garan­tir qu’u­ne distinc­tion clai­re soit éta­b­lie ent­re la pha­se de déve­lo­p­pe­ment et la pha­se de four­ni­tu­re. En out­re, la four­ni­tu­re de pro­duits con­tenant des élé­ments numé­ri­ques clas­sés com­me com­po­sants logi­ciels libres et open source et desti­nés à être inté­g­rés par d’aut­res fab­ri­cants dans leurs pro­pres pro­duits con­tenant des élé­ments numé­ri­ques ne dev­rait être con­sidé­rée com­me une mise à dis­po­si­ti­on sur le mar­ché que si le com­po­sant est mon­nayé par son fab­ri­cant d’o­ri­gi­ne. Par exemp­le, le simp­le fait qu’un pro­duit logi­ciel à source ouver­te con­tenant des élé­ments numé­ri­ques béné­fi­cie d’un sou­ti­en finan­cier de la part de ses fab­ri­cants ou que des fab­ri­cants con­tri­buent au déve­lo­p­pe­ment d’un tel pro­duit ne dev­rait pas, en soi, être déter­mi­nant pour éta­b­lir que l’ac­ti­vi­té est de natu­re com­mer­cia­le. En out­re, la simp­le exi­stence de publi­ca­ti­ons régu­liè­res de ver­si­ons ne dev­rait pas, en soi, per­mett­re de con­clu­re qu’un pro­duit con­tenant des élé­ments numé­ri­ques est four­ni dans le cad­re d’u­ne acti­vi­té com­mer­cia­le. Enfin, aux fins du pré­sent règle­ment, le déve­lo­p­pe­ment, par des orga­ni­sa­ti­ons à but non lucra­tif, de pro­duits con­tenant des élé­ments numé­ri­ques clas­sés com­me logi­ciels libres et open source ne dev­rait pas être con­sidé­ré com­me une acti­vi­té com­mer­cia­le, à con­di­ti­on que l’or­ga­ni­sa­ti­on soit con­çue de maniè­re à garan­tir que tous les reve­nus, après déduc­tion des coûts, soi­ent uti­li­sés pour att­eind­re des objec­tifs non lucra­tifs. Le pré­sent règle­ment ne s’ap­pli­que pas aux per­son­nes phy­si­ques ou mora­les qui con­tri­buent, au moy­en de codes sources, à des pro­duits con­tenant des élé­ments numé­ri­ques clas­sés com­me logi­ciels libres et à code source ouvert et qui ne relè­vent pas de leur responsabilité.
(19) Comp­te tenu de l’im­portance pour la cyber­sé­cu­ri­té de nombreux pro­duits con­tenant des élé­ments numé­ri­ques qui sont con­sidé­rés com­me des logi­ciels libres et à code source ouvert et qui sont publiés, mais non mis à dis­po­si­ti­on sur le mar­ché, au sens du pré­sent règle­ment, les per­son­nes mora­les qui sou­ti­en­nent dura­blem­ent le déve­lo­p­pe­ment de ces pro­duits desti­nés à des acti­vi­tés com­mer­cia­les et qui jouent un rôle important pour garan­tir leur uti­li­té (gesti­on­n­aires de logi­ciels à code source ouvert) dev­rai­ent être sou­mi­ses à un régime régle­men­tai­re sim­pli­fié et adap­té. Les gesti­on­n­aires de logi­ciels à code source ouvert com­pren­nent cer­tai­nes fon­da­ti­ons et les enti­tés qui déve­lo­p­pent et publi­ent des logi­ciels libres et à code source ouvert dans un con­tex­te com­mer­cial, y com­pris les orga­ni­sa­ti­ons à but non lucra­tif. La régle­men­ta­ti­on dev­rait tenir comp­te de leurs spé­ci­fi­ci­tés et de la com­pa­ti­bi­li­té avec la natu­re des obli­ga­ti­ons impo­sées. Seuls les pro­duits con­tenant des élé­ments numé­ri­ques con­sidé­rés com­me des logi­ciels libres et à code source ouvert et desti­nés à ter­me à des acti­vi­tés com­mer­cia­les, tel­les que l’in­té­gra­ti­on dans des ser­vices com­mer­ci­aux ou des pro­duits payants con­tenant des élé­ments numé­ri­ques, dev­rai­ent être cou­verts. Aux fins du pré­sent régime régle­men­tai­re, l’in­té­gra­ti­on envi­sa­gée dans des pro­duits payants con­tenant des élé­ments numé­ri­ques cou­vre les cas dans les­quels les fab­ri­cants qui intègrent un com­po­sant dans leurs pro­pres pro­duits con­tenant des élé­ments numé­ri­ques soit con­tri­buent régu­liè­re­ment au déve­lo­p­pe­ment de ce com­po­sant, soit apportent un sou­ti­en finan­cier régu­lier afin d’assurer la con­ti­nui­té d’un pro­duit logi­ciel. Le sou­ti­en per­ma­nent au déve­lo­p­pe­ment d’un pro­duit con­tenant des élé­ments numé­ri­ques com­prend, ent­re aut­res, l’hé­ber­ge­ment et la gesti­on de pla­te­for­mes de col­la­bo­ra­ti­on pour le déve­lo­p­pe­ment de logi­ciels, l’hé­ber­ge­ment de codes sources ou de logi­ciels, la gesti­on ou l’ad­mi­ni­stra­ti­on de pro­duits con­tenant des élé­ments numé­ri­ques clas­sés com­me logi­ciels libres et open source, ain­si que la gesti­on du déve­lo­p­pe­ment de tels pro­duits. Étant don­né que le régime régle­men­tai­re sim­pli­fié et sur mesu­re ne pré­voit pas les mêmes obli­ga­ti­ons pour les gesti­on­n­aires de logi­ciels à code source ouvert que pour les fab­ri­cants dans le cad­re du pré­sent règle­ment, ils ne dev­rai­ent pas être auto­ri­sés à appo­ser le mar­quage CE sur les pro­duits con­tenant des élé­ments numé­ri­ques dont ils sou­ti­en­nent le développement.
(20) La simp­le mise à dis­po­si­ti­on de pro­duits con­tenant des élé­ments numé­ri­ques dans des archi­ves ouver­tes, y com­pris par le biais de la gesti­on de paquets ou de pla­te­for­mes de col­la­bo­ra­ti­on, ne con­sti­tue pas en soi la mise à dis­po­si­ti­on d’un pro­duit con­tenant des élé­ments numé­ri­ques sur le mar­ché. Les four­nis­seurs de ces ser­vices ne dev­rai­ent être con­sidé­rés com­me des dis­tri­bu­teurs que s’ils met­tent ces logi­ciels à dis­po­si­ti­on sur le mar­ché et les four­nis­sent donc dans le cad­re d’u­ne acti­vi­té com­mer­cia­le en vue de leur dis­tri­bu­ti­on ou de leur uti­li­sa­ti­on sur le mar­ché de l’Union.
(21) Afin de sou­te­nir et de faci­li­ter le devoir de dili­gence des fab­ri­cants qui intègrent dans leurs pro­duits con­tenant des élé­ments numé­ri­ques des com­po­sants logi­ciels libres et à code source ouvert non sou­mis aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té défi­nies dans le pré­sent règle­ment, la Com­mis­si­on dev­rait avoir la pos­si­bi­li­té de mett­re en place des pro­gram­mes volon­tai­res de cer­ti­fi­ca­ti­on de la sécu­ri­té, soit par un acte délé­gué com­plé­tant le pré­sent règle­ment, soit en deman­dant un sché­ma euro­pé­en de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té, con­for­mé­ment à l’ar­tic­le 48 du règle­ment (UE) 2019/881, qui tien­ne comp­te des spé­ci­fi­ci­tés des modè­les de déve­lo­p­pe­ment des logi­ciels libres et à code source ouvert. Les pro­gram­mes de cer­ti­fi­ca­ti­on de la sécu­ri­té doi­vent être con­çus de maniè­re à per­mett­re non seu­le­ment aux per­son­nes phy­si­ques ou mora­les qui déve­lo­p­pent ou con­tri­buent à un pro­duit con­tenant des élé­ments numé­ri­ques clas­sés com­me logi­ciels libres et à code source ouvert d’i­ni­tier ou de finan­cer une cer­ti­fi­ca­ti­on de la sécu­ri­té, mais aus­si aux tiers, tels que les fab­ri­cants qui intègrent de tels pro­duits con­tenant des élé­ments numé­ri­ques dans leurs pro­pres pro­duits con­tenant des élé­ments numé­ri­ques, ain­si que les uti­li­sa­teurs ou les admi­ni­stra­ti­ons publi­ques de l’U­ni­on et des États membres.
(22) Comp­te tenu des objec­tifs du pré­sent règle­ment en matiè­re de cyber­sé­cu­ri­té publi­que et afin d’a­mé­lio­rer la pri­se de con­sci­ence par les États mem­bres de la situa­ti­on de dépen­dance de l’U­ni­on à l’é­gard des élé­ments logi­ciels, et notam­ment des élé­ments logi­ciels poten­ti­el­le­ment libres et à code source ouvert, un grou­pe spé­cial de coopé­ra­ti­on admi­ni­stra­ti­ve (ADCO) insti­tué par le pré­sent règle­ment dev­rait pou­voir déci­der de pro­cé­der con­join­te­ment à une éva­lua­ti­on de la dépen­dance de l’U­ni­on. Les auto­ri­tés de sur­veil­lan­ce du mar­ché dev­rai­ent pou­voir deman­der aux fab­ri­cants de pro­duits con­tenant des élé­ments numé­ri­ques qui ent­rent dans les caté­go­ries éta­b­lies par l’AD­CO de four­nir les nomen­cla­tures de logi­ciels qu’ils ont éta­b­lies con­for­mé­ment au pré­sent règle­ment. Afin de pro­té­ger la con­fi­den­tia­li­té des nomen­cla­tures de logi­ciels, les auto­ri­tés de sur­veil­lan­ce du mar­ché dev­rai­ent trans­mett­re à ADCO les infor­ma­ti­ons per­ti­nen­tes sur les dépen­dan­ces sous une for­me anony­me et agrégée.
(23) L’ef­fi­ca­ci­té de la mise en œuvre du pré­sent règle­ment dépen­dra éga­le­ment de la dis­po­ni­bi­li­té de com­pé­ten­ces adé­qua­tes dans le domaine de la cyber­sé­cu­ri­té. Au niveau de l’U­ni­on, plu­sieurs docu­ments pro­gram­ma­ti­ques et poli­ti­ques, dont la com­mu­ni­ca­ti­on de la Com­mis­si­on du 18 avril 2023 inti­tulée “Com­bler le défi­cit de com­pé­ten­ces en matiè­re de cyber­sé­cu­ri­té pour favo­ri­ser la com­pé­ti­ti­vi­té, la crois­sance et la rési­li­ence de l’UE” et les con­clu­si­ons du Con­seil du 22 mai 2023 sur la poli­tique de cyber­dé­fen­se de l’UE, recon­nais­sent qu’il exi­ste un défi­cit de com­pé­ten­ces en matiè­re de cyber­sé­cu­ri­té dans l’U­ni­on et qu’il con­vi­ent de s’at­ta­quer en prio­ri­té à ce pro­blè­me, tant dans le sec­teur public que dans le sec­teur pri­vé. Afin d’assurer une mise en œuvre effi­cace du pré­sent règle­ment, les États mem­bres dev­rai­ent veil­ler à ce que des res­sour­ces suf­fi­san­tes soi­ent dis­po­ni­bles pour doter les auto­ri­tés de sur­veil­lan­ce du mar­ché et les orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té d’ef­fec­tifs adé­quats afin qu’ils pui­s­sent s’ac­quit­ter des tâches qui leur incom­bent en ver­tu du pré­sent règle­ment. Dans le cad­re de ces mesu­res, il con­vi­ent d’a­mé­lio­rer la mobi­li­té de la main-d’œu­vre dans le domaine de la cyber­sé­cu­ri­té et les car­ri­è­res qui y sont liées. Ces mesu­res dev­rai­ent éga­le­ment con­tri­buer à rend­re les tra­vail­leurs du sec­teur de la cyber­sé­cu­ri­té plus rési­li­en­ts et plus inclu­sifs, y com­pris en ce qui con­cer­ne l’é­ga­li­té des gen­res. Les États mem­bres dev­rai­ent donc prend­re des dis­po­si­ti­ons pour que les fonc­tions con­cer­nées soi­ent exer­cées par des pro­fes­si­on­nels cor­rec­te­ment for­més et pos­sé­dant les com­pé­ten­ces néces­saires en matiè­re de cyber­sé­cu­ri­té. De même, les fab­ri­cants dev­rai­ent veil­ler à ce que leur per­son­nel dis­po­se des com­pé­ten­ces néces­saires pour s’ac­quit­ter des obli­ga­ti­ons qui leur incom­bent en ver­tu du pré­sent règle­ment. Les États mem­bres et la Com­mis­si­on dev­rai­ent, con­for­mé­ment à leurs pré­ro­ga­ti­ves et responsa­bi­li­tés et aux tâches spé­ci­fi­ques qui leur sont con­fiées par le pré­sent règle­ment, prend­re des mesu­res pour aider les fab­ri­cants, en par­ti­cu­lier les microentre­pri­ses et les peti­tes et moy­ennes ent­re­pri­ses, y com­pris les start-ups, y com­pris dans des domain­es tels que le déve­lo­p­pe­ment des com­pé­ten­ces, afin de leur per­mett­re de rem­plir les obli­ga­ti­ons qui leur incom­bent en ver­tu du pré­sent règle­ment. Étant don­né que les États mem­bres sont tenus, en ver­tu de la direc­ti­ve (UE) 2022/2555 , de prend­re des mesu­res pour pro­mou­voir et déve­lo­p­per la for­ma­ti­on à la cyber­sé­cu­ri­té et les com­pé­ten­ces en cyber­sé­cu­ri­té dans le cad­re de leurs stra­té­gies natio­na­les de cyber­sé­cu­ri­té, les États mem­bres peu­vent éga­le­ment envi­sa­ger, lors de l’ad­op­ti­on de ces stra­té­gies, de répond­re aux beso­ins en com­pé­ten­ces en matiè­re de cyber­sé­cu­ri­té décou­lant du pré­sent règle­ment, y com­pris les beso­ins de recy­cla­ge et de déve­lo­p­pe­ment des compétences.
(24) Un inter­net sûr est essen­tiel au fonc­tion­ne­ment des infras­truc­tures cri­ti­ques et de la socié­té dans son ensem­ble. La direc­ti­ve (UE) 2022/2555 vise à assurer un niveau éle­vé de cyber­sé­cu­ri­té des ser­vices four­nis par les enti­tés essen­ti­el­les et importan­tes visées à l’ar­tic­le 3 de ladi­te direc­ti­ve, dont font par­tie les explo­itants d’in­fras­truc­tures numé­ri­ques, qui pren­nent en char­ge les fonc­tions essen­ti­el­les de l’in­ter­net ouvert et garan­tis­sent l’ac­cès à l’in­ter­net et les ser­vices inter­net. Il est donc important que les pro­duits con­tenant des élé­ments numé­ri­ques néces­saires pour per­mett­re aux opé­ra­teurs d’in­fras­truc­tures numé­ri­ques d’assurer le fonc­tion­ne­ment de l’in­ter­net soi­ent con­çus de maniè­re sûre et qu’ils soi­ent con­for­mes aux nor­mes éta­b­lies en matiè­re de sécu­ri­té de l’in­ter­net. Le pré­sent règle­ment, qui s’ap­pli­que à tous les pro­duits maté­ri­els et logi­ciels pou­vant être ren­dus obli­ga­toires, vise éga­le­ment à aider les explo­itants d’in­fras­truc­tures numé­ri­ques à se con­for­mer aux exi­gen­ces de la direc­ti­ve (UE) 2022/2555 rela­ti­ves à la chaî­ne d’ap­pro­vi­si­on­ne­ment en veil­lant à ce que les pro­duits con­tenant des élé­ments numé­ri­ques qu’ils uti­li­sent pour four­nir leurs ser­vices soi­ent con­çus de maniè­re sûre et à ce qu’ils reçoi­vent en temps uti­le des mises à jour de sécu­ri­té pour ces produits.
(25) Le règle­ment (UE) 2017/745 du Par­le­ment euro­pé­en et du Con­seil (9) con­ti­ent des dis­po­si­ti­ons rela­ti­ves aux dis­po­si­tifs médi­caux et le règle­ment (UE) 2017/746 du Par­le­ment euro­pé­en et du Con­seil (10) con­ti­ent des dis­po­si­ti­ons rela­ti­ves aux dis­po­si­tifs médi­caux de dia­gno­stic in vitro. Ces règle­ments visent à gérer les ris­ques liés à la cyber­sé­cu­ri­té et sui­vent des appro­ches spé­ci­fi­ques qui sont éga­le­ment à la base du pré­sent règle­ment. En par­ti­cu­lier, les règle­ments (UE) 2017/745 et (UE) 2017/746 con­ti­en­nent des exi­gen­ces essen­ti­el­les pour les dis­po­si­tifs médi­caux qui fonc­tion­nent au moy­en d’un système élec­tro­ni­que ou qui sont eux-mêmes des logi­ciels. Cer­ta­ins logi­ciels non inté­g­rés et l’appro­che glo­ba­le du cycle de vie sont éga­le­ment cou­verts par ces règle­ments. En ver­tu de ces exi­gen­ces, les fab­ri­cants doi­vent appli­quer des prin­cipes de gesti­on des ris­ques lors du déve­lo­p­pe­ment et de la con­cep­ti­on de leurs pro­duits et, pour ce fai­re, défi­nir des exi­gen­ces en matiè­re de mesu­res de sécu­ri­té infor­ma­tique ain­si que des pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té cor­re­spond­an­tes. En out­re, depuis décembre 2019, des lignes direc­tri­ces spé­ci­fi­ques sur la cyber­sé­cu­ri­té des dis­po­si­tifs médi­caux four­nis­sent aux fab­ri­cants de dis­po­si­tifs médi­caux et de dis­po­si­tifs médi­caux de dia­gno­stic in vitro des ori­en­ta­ti­ons sur la maniè­re de se con­for­mer à tou­tes les exi­gen­ces essen­ti­el­les per­ti­nen­tes de l’an­ne­xe I de ces règle­ments en matiè­re de cyber­sé­cu­ri­té. Les pro­duits con­tenant des élé­ments numé­ri­ques qui relè­vent de l’un de ces règle­ments ne doi­vent donc pas être cou­verts par le pré­sent règlement.
(26) Les pro­duits con­tenant des élé­ments numé­ri­ques con­çus ou modi­fi­és exclu­si­ve­ment à des fins de sécu­ri­té natio­na­le ou de défen­se, ou les pro­duits spé­cia­le­ment con­çus pour le trai­te­ment d’in­for­ma­ti­ons clas­si­fi­ées, ne relè­vent pas du champ d’ap­pli­ca­ti­on du pré­sent règle­ment. Les États mem­bres sont invi­tés à assurer, pour ces pro­duits, un niveau de pro­tec­tion iden­tique ou supé­ri­eur à celui des pro­duits rele­vant du champ d’ap­pli­ca­ti­on du pré­sent règlement.
(27) Le règle­ment (UE) 2019/2144 du Par­le­ment euro­pé­en et du Con­seil (11) éta­blit des exi­gen­ces pour la récep­ti­on des véhi­cu­les à moteur et des systè­mes et com­po­sants desti­nés à ces véhi­cu­les et intro­duit cer­tai­nes exi­gen­ces en matiè­re de cyber­sé­cu­ri­té, y com­pris en ce qui con­cer­ne l’ex­plo­ita­ti­on d’un système cer­ti­fié de gesti­on de la cyber­sé­cu­ri­té, des mises à jour de logi­ciels qui défi­nis­sent les poli­ti­ques et pro­cé­du­res des orga­ni­sa­ti­ons pour gérer les ris­ques liés à la cyber­sé­cu­ri­té tout au long du cycle de vie des véhi­cu­les, des équi­pe­ments et des ser­vices, con­for­mé­ment aux règle­ments des Nati­ons unies appli­ca­bles en matiè­re de spé­ci­fi­ca­ti­ons tech­ni­ques et de cyber­sé­cu­ri­té, notam­ment le règle­ment des Nati­ons unies no 155 – Pre­scrip­ti­ons uni­for­mes rela­ti­ves à l’ho­mo­lo­gati­on des véhi­cu­les en ce qui con­cer­ne la cyber­sé­cu­ri­té et le système de gesti­on de la cyber­sé­cu­ri­té (12), et pré­voi­ent des pro­cé­du­res spé­ci­fi­ques d’éva­lua­ti­on de la con­for­mi­té. Dans le domaine de l’a­via­ti­on, l’ob­jec­tif prin­ci­pal du règle­ment (UE) 2018/1139 du Par­le­ment euro­pé­en et du Con­seil (13) est d’é­ta­b­lir et de main­te­nir un niveau uni­for­me éle­vé de sécu­ri­té aéri­en­ne dans l’U­ni­on. Le règle­ment éta­blit un cad­re d’e­xi­gen­ces essen­ti­el­les pour la navi­ga­bili­té des pro­duits, piè­ces et équi­pe­ments aéro­nau­ti­ques, y com­pris les logi­ciels, qui com­prend des obli­ga­ti­ons de pro­tec­tion cont­re les men­aces pour la sécu­ri­té de l’in­for­ma­ti­on. La pro­cé­du­re de cer­ti­fi­ca­ti­on pré­vue par le règle­ment (UE) 2018/1139 garan­tit le niveau de con­fi­ance visé par le pré­sent règle­ment. Les pro­duits con­tenant des élé­ments numé­ri­ques qui relè­vent du règle­ment (UE) 2019/2144 et les pro­duits cer­ti­fi­és con­for­mé­ment au règle­ment (UE) 2018/1139 ne dev­rai­ent donc pas être sou­mis aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té et aux pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té éta­b­lies par le pré­sent règlement.
(28) Le pré­sent règle­ment éta­blit des règles hori­zon­ta­les en matiè­re de cyber­sé­cu­ri­té qui n’ont pas voca­ti­on à s’ap­pli­quer spé­ci­fi­quement à cer­ta­ins sec­teurs ou à cer­ta­ins pro­duits con­tenant des élé­ments numé­ri­ques. Néan­mo­ins, une légis­la­ti­on de l’U­ni­on spé­ci­fi­que à un sec­teur ou à un pro­duit pour­rait être intro­duite, avec des exi­gen­ces portant sur tout ou par­tie des ris­ques cou­verts par les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té éta­b­lies par le pré­sent règle­ment. L’ap­pli­ca­ti­on du pré­sent règle­ment aux pro­duits con­tenant des élé­ments numé­ri­ques qui sont cou­verts par d’aut­res dis­po­si­ti­ons de l’U­ni­on com­portant des exi­gen­ces rela­ti­ves à tout ou par­tie des ris­ques cou­verts par les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées dans le pré­sent règle­ment peut, dans ces cas, être limi­tée ou exclue, pour autant que la limi­ta­ti­on ou l’ex­clu­si­on soit com­pa­ti­ble avec le cad­re juri­di­que géné­ral appli­ca­ble à ces pro­duits et que les dis­po­si­ti­ons sec­to­ri­el­les per­met­tent d’att­eind­re au moins le même niveau de pro­tec­tion que celui garan­ti par le pré­sent règle­ment. Il con­vi­ent de délé­guer à la Com­mis­si­on le pou­voir d’ad­op­ter des actes délé­gués afin de com­plé­ter le pré­sent règle­ment en ce qui con­cer­ne la défi­ni­ti­on de ces pro­duits et règles. En ce qui con­cer­ne la légis­la­ti­on exi­stan­te de l’U­ni­on à laquel­le ces rest­ric­tions ou exclu­si­ons dev­rai­ent s’ap­pli­quer, le pré­sent règle­ment con­ti­ent des dis­po­si­ti­ons spé­ci­fi­ques visa­nt à pré­cis­er sa rela­ti­on avec cet­te légis­la­ti­on de l’Union.
(29) Afin de per­mett­re la répa­ra­ti­on effi­cace des pro­duits con­tenant des élé­ments numé­ri­ques mis à dis­po­si­ti­on sur le mar­ché et de pro­lon­ger leur durée de vie, il con­vi­ent de pré­voir une exemp­ti­on pour les piè­ces de rech­an­ge. Cet­te exemp­ti­on doit s’ap­pli­quer à la fois aux piè­ces de rech­an­ge uti­li­sées pour la répa­ra­ti­on de pro­duits exi­stants mis à dis­po­si­ti­on avant la date d’ap­pli­ca­ti­on du pré­sent règle­ment et aux piè­ces de rech­an­ge qui ont déjà fait l’ob­jet d’u­ne pro­cé­du­re d’éva­lua­ti­on de la con­for­mi­té con­for­mé­ment au pré­sent règlement.
(30) Le règle­ment délé­gué (UE) 2022/30 de la Com­mis­si­on (14) dis­po­se que les exi­gen­ces essen­ti­el­les visées à l’ar­tic­le 3, para­gra­phe 3, points d), e) et f), de la direc­ti­ve 2014/53/UE du Par­le­ment euro­pé­en et du Con­seil (15), rela­ti­ves aux effets néfa­stes sur le réseau et à l’uti­li­sa­ti­on abu­si­ve des res­sour­ces du réseau, aux don­nées à carac­tère per­son­nel et à la vie pri­vée ain­si qu’à la frau­de, s’ap­pli­quent à cer­ta­ins équi­pe­ments hertzi­ens. La décis­i­on d’exé­cu­ti­on C(2022) 5637 de la Com­mis­si­on du 5 août 2022 rela­ti­ve à un man­dat de nor­ma­li­sa­ti­on adres­sé au Comi­té euro­pé­en de nor­ma­li­sa­ti­on et au Comi­té euro­pé­en de nor­ma­li­sa­ti­on élec­tro­tech­ni­que con­ti­ent des exi­gen­ces pour l’é­la­bo­ra­ti­on de nor­mes spé­ci­fi­ques pré­cisant la maniè­re dont ces trois exi­gen­ces essen­ti­el­les doi­vent être trai­tées. Les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té défi­nies dans le pré­sent règle­ment com­pren­nent tous les élé­ments des exi­gen­ces essen­ti­el­les visées à l’ar­tic­le 3, para­gra­phe 3, points d), e) et f), de la direc­ti­ve 2014/53/UE. En out­re, les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té défi­nies dans le pré­sent règle­ment sont con­for­mes aux objec­tifs des exi­gen­ces rela­ti­ves aux nor­mes spé­ci­fi­ques pré­vues dans le pré­sent man­dat de nor­ma­li­sa­ti­on. Par con­sé­quent, si la Com­mis­si­on abro­ge ou modi­fie le règle­ment délé­gué (UE) 2022/30 de maniè­re à ce qu’il ne s’ap­pli­que plus à cer­ta­ins pro­duits cou­verts par le pré­sent règle­ment, la Com­mis­si­on et les orga­nis­mes euro­pé­ens de nor­ma­li­sa­ti­on dev­rai­ent alors tenir comp­te des travaux de nor­ma­li­sa­ti­on réa­li­sés dans le cad­re de la décis­i­on d’exé­cu­ti­on C(2022) 5637 lors de l’é­la­bo­ra­ti­on et du déve­lo­p­pe­ment de nor­mes har­mo­ni­sées, afin de faci­li­ter la mise en œuvre du pré­sent règle­ment. Au cours de la péri­ode de tran­si­ti­on pour l’ap­pli­ca­ti­on du pré­sent règle­ment, la Com­mis­si­on dev­rait four­nir des ori­en­ta­ti­ons aux fab­ri­cants sou­mis au pré­sent règle­ment ain­si qu’au règle­ment délé­gué (UE) 2022/30 afin de faci­li­ter la démon­stra­ti­on de la con­for­mi­té aux deux règlements.
(31) La direc­ti­ve (UE) 2024/2853 du Par­le­ment euro­pé­en et du Con­seil (16) com­plè­te le pré­sent règle­ment. Cet­te direc­ti­ve con­ti­ent des dis­po­si­ti­ons rela­ti­ves à la responsa­bi­li­té du fait des pro­duits défec­tueux, afin de per­mett­re aux per­son­nes lésées de deman­der répa­ra­ti­on lorsqu’un pro­duit défec­tueux a causé un dom­mage. Elle éta­blit le prin­ci­pe selon lequel le pro­duc­teur d’un pro­duit est responsable, indé­pen­dam­ment de sa fau­te, des dom­mages causés par le man­que de sécu­ri­té de son pro­duit (“responsa­bi­li­té sans fau­te”). Si ce défaut de sécu­ri­té con­si­ste en l’ab­sence de mise à jour de la sécu­ri­té après la mise sur le mar­ché du pro­duit et qu’il en résul­te un dom­mage, la responsa­bi­li­té du pro­duc­teur pour­rait être enga­gée. Le pré­sent règle­ment dev­rait défi­nir les obli­ga­ti­ons des fab­ri­cants en ce qui con­cer­ne la four­ni­tu­re de ces mises à jour de sécurité.
(32) Le pré­sent règle­ment dev­rait s’ap­pli­quer sans pré­ju­di­ce du règle­ment (UE) 2016/679 du Par­le­ment euro­pé­en et du Con­seil (17), qui con­ti­ent des dis­po­si­ti­ons rela­ti­ves à la mise en place de pro­cé­du­res de cer­ti­fi­ca­ti­on en matiè­re de pro­tec­tion des don­nées et de labels et mar­ques de pro­tec­tion des don­nées visa­nt à démon­trer que les respons­ables du trai­te­ment des don­nées et les sous-trai­tants respec­tent les dis­po­si­ti­ons de ce der­nier règle­ment lorsqu’ils trai­tent des don­nées. De tel­les opé­ra­ti­ons pour­rai­ent être inté­g­rées dans un pro­duit con­tenant des élé­ments numé­ri­ques. Les prin­cipes de pro­tec­tion des don­nées par la con­cep­ti­on tech­ni­que et par des paramè­tres par défaut respec­tueux de la vie pri­vée, ain­si que la cyber­sé­cu­ri­té en géné­ral, sont des élé­ments clés du règle­ment (UE) 2016/679. En pro­té­geant les con­som­ma­teurs et les orga­ni­sa­ti­ons cont­re les ris­ques liés à la cyber­sé­cu­ri­té, les exi­gen­ces essen­ti­el­les en matiè­re de cyber­sé­cu­ri­té défi­nies dans le pré­sent règle­ment dev­rai­ent éga­le­ment con­tri­buer à amé­lio­rer la pro­tec­tion des don­nées à carac­tère per­son­nel et la pro­tec­tion de la vie pri­vée des per­son­nes phy­si­ques. Tant la nor­ma­li­sa­ti­on que la cer­ti­fi­ca­ti­on des aspects liés à la cyber­sé­cu­ri­té dev­rai­ent tenir comp­te des syn­er­gies dans le cad­re de la coopé­ra­ti­on ent­re la Com­mis­si­on, les orga­nis­mes euro­pé­ens de nor­ma­li­sa­ti­on, l’A­gence de l’U­ni­on euro­pé­en­ne pour la cyber­sé­cu­ri­té (ENISA), le comi­té euro­pé­en de la pro­tec­tion des don­nées insti­tué par le règle­ment (UE) 2016/679 et les auto­ri­tés natio­na­les de con­trô­le de la pro­tec­tion des don­nées. Des syn­er­gies ent­re le pré­sent règle­ment et la légis­la­ti­on de l’U­ni­on en matiè­re de pro­tec­tion des don­nées dev­rai­ent éga­le­ment être recher­chées dans le domaine de la sur­veil­lan­ce du mar­ché et de l’ap­pli­ca­ti­on de la légis­la­ti­on. cet effet, les auto­ri­tés natio­na­les de sur­veil­lan­ce du mar­ché dési­gnées en ver­tu du pré­sent règle­ment dev­rai­ent coopé­rer avec les auto­ri­tés char­gées de sur­veil­ler l’ap­pli­ca­ti­on de la légis­la­ti­on de l’U­ni­on en matiè­re de pro­tec­tion des don­nées. Ces der­niè­res auto­ri­tés dev­rai­ent éga­le­ment avoir accès aux infor­ma­ti­ons uti­les à l’ac­com­plis­se­ment de leurs tâches.
(33) Dans la mesu­re où leurs pro­duits relè­vent du champ d’ap­pli­ca­ti­on du pré­sent règle­ment, les four­nis­seurs de porte­feuilles d’i­den­ti­té numé­ri­que euro­pé­ens (porte­feuilles EUid) dev­rai­ent, con­for­mé­ment à l’ar­tic­le 5 bis, para­gra­phe 2, du règle­ment (UE) no 910/2014 du Par­le­ment euro­pé­en et du Con­seil (18), se con­for­mer à la fois aux exi­gen­ces de base hori­zon­ta­les en matiè­re de cyber­sé­cu­ri­té défi­nies dans le pré­sent règle­ment et aux exi­gen­ces de sécu­ri­té spé­ci­fi­ques visées à l’ar­tic­le 5 bis du règle­ment (UE) no 910/2014. Afin de faci­li­ter la con­for­mi­té, les four­nis­seurs de porte­feuilles UEid dev­rai­ent être en mesu­re de démon­trer la con­for­mi­té des porte­feuilles UEid aux exi­gen­ces éta­b­lies par le pré­sent règle­ment et par le règle­ment (UE) no 910/2014 en faisant cer­ti­fier leurs pro­duits dans le cad­re d’un système euro­pé­en de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té éta­b­li par le règle­ment (UE) 2019/881, pour lequel la Com­mis­si­on a éta­b­li, par voie d’ac­te délé­gué, une pré­somp­ti­on de con­for­mi­té aux exi­gen­ces du pré­sent règle­ment, dans la mesu­re où le cer­ti­fi­cat ou des par­ties de celui-ci cou­vrent ces exigences.
(34) Lorsque, au cours de la pha­se de con­cep­ti­on et de déve­lo­p­pe­ment, les fab­ri­cants intègrent des com­po­sants obte­nus auprès de tiers dans des pro­duits con­tenant des élé­ments numé­ri­ques, ils doi­vent fai­re preuve de la dili­gence requi­se à l’é­gard de ces com­po­sants, y com­pris les com­po­sants logi­ciels libres et à code source ouvert qui n’ont pas été mis à dis­po­si­ti­on sur le mar­ché, afin de garan­tir que les pro­duits sont con­çus, déve­lo­p­pés et fab­ri­qués con­for­mé­ment aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té éta­b­lies par le pré­sent règle­ment. Le niveau appro­prié de dili­gence rai­sonnable est déter­mi­né par la natu­re et l’am­pleur du ris­que de cyber­sé­cu­ri­té asso­cié à un com­po­sant don­né, en tenant comp­te d’u­ne ou de plu­sieurs des mesu­res sui­van­tes à cet­te fin : véri­fier, le cas échéant, que le fab­ri­cant d’un com­po­sant a démon­tré sa con­for­mi­té au pré­sent règle­ment, y com­pris en véri­fi­ant si le com­po­sant por­te déjà le mar­quage CE ; véri­fier si un com­po­sant fait l’ob­jet de mises à jour de sécu­ri­té régu­liè­res, par exemp­le en con­trôlant les mises à jour de sécu­ri­té anté­ri­eu­res ; véri­fier qu’un com­po­sant est exempt des vul­né­ra­bi­li­tés enre­gi­strées dans la base de don­nées euro­pé­en­ne des vul­né­ra­bi­li­tés éta­b­lie con­for­mé­ment à l’ar­tic­le 12, para­gra­phe 2, de la direc­ti­ve (UE) 2022/2555 ou dans d’aut­res bases de don­nées de vul­né­ra­bi­li­tés acce­s­si­bles au public, ou pro­cé­der à des con­trô­les de sécu­ri­té sup­p­lé­men­tai­res. Les obli­ga­ti­ons en matiè­re de gesti­on des vul­né­ra­bi­li­tés défi­nies dans le pré­sent règle­ment, aux­quel­les les fab­ri­cants doi­vent se con­for­mer lors de la mise sur le mar­ché d’un pro­duit numé­ri­que et pen­dant la péri­ode d’as­si­stance, s’ap­pli­quent aux pro­duits numé­ri­ques dans leur inté­gra­li­té, y com­pris tous les com­po­sants inté­g­rés. Si, dans le cad­re de son obli­ga­ti­on de vigi­lan­ce, le fab­ri­cant du pro­duit con­tenant des élé­ments numé­ri­ques détec­te une vul­né­ra­bi­li­té dans un com­po­sant, y com­pris dans un com­po­sant lib­re et open source, il doit en infor­mer la per­son­ne ou l’en­ti­té qui a fab­ri­qué ou qui assu­re la main­ten­an­ce du com­po­sant, remé­dier à la vul­né­ra­bi­li­té et, le cas échéant, mett­re à la dis­po­si­ti­on de la per­son­ne ou de l’en­ti­té le cor­rec­tif de sécu­ri­té utilisé.
(35) Immé­dia­te­ment après la péri­ode de tran­si­ti­on pour l’ap­pli­ca­ti­on du pré­sent règle­ment, un fab­ri­cant d’un pro­duit numé­ri­que con­tenant un ou plu­sieurs com­po­sants ache­tés auprès de tiers éga­le­ment sou­mis au pré­sent règle­ment peut ne pas être en mesu­re de véri­fier, dans le cad­re de son obli­ga­ti­on de dili­gence, que les fab­ri­cants de ces com­po­sants ont démon­tré la con­for­mi­té au pré­sent règle­ment, par exemp­le en véri­fi­ant si les com­po­sants portent déjà le mar­quage CE. Cela peut être le cas si les com­po­sants ont été inté­g­rés avant que le pré­sent règle­ment ne s’ap­pli­que aux fab­ri­cants de ces com­po­sants. Dans ce cas, un fab­ri­cant qui intèg­re de tels com­po­sants doit exer­cer son devoir de dili­gence d’u­ne aut­re manière.
(36) Les pro­duits con­tenant des élé­ments numé­ri­ques dev­rai­ent en prin­ci­pe por­ter le mar­quage CE, qui indi­que de maniè­re visi­ble, lisi­ble et indé­lé­bi­le leur con­for­mi­té au pré­sent règle­ment, de sor­te qu’ils pui­s­sent cir­culer libre­ment dans le mar­ché inté­ri­eur. Les États mem­bres ne dev­rai­ent pas cré­er d’ob­s­ta­cles inju­sti­fi­és à la mise sur le mar­ché de pro­duits con­tenant des élé­ments numé­ri­ques qui sont con­for­mes aux exi­gen­ces fixées par le pré­sent règle­ment et qui portent le mar­quage CE. En out­re, les États mem­bres ne dev­rai­ent pas empêcher la pré­sen­ta­ti­on ou l’uti­li­sa­ti­on d’un pro­duit con­tenant des élé­ments numé­ri­ques qui n’est pas con­for­me au pré­sent règle­ment lors de foi­res com­mer­cia­les, d’ex­po­si­ti­ons, de démon­stra­ti­ons ou d’é­vé­ne­ments simi­lai­res, y com­pris les pro­to­ty­pes, à con­di­ti­on que le pro­duit por­te un mar­quage visi­ble indi­quant clai­re­ment que le pro­duit n’est pas con­for­me au pré­sent règle­ment et qu’il ne peut être mis à dis­po­si­ti­on sur le mar­ché que lorsqu’il l’est.
(37) Afin de per­mett­re aux fab­ri­cants de libé­rer des logi­ciels à des fins de test avant de sou­mett­re leurs pro­duits inté­grant des élé­ments numé­ri­ques à une éva­lua­ti­on de con­for­mi­té, les États mem­bres ne dev­rai­ent pas empêcher la mise à dis­po­si­ti­on de logi­ciels non fina­li­sés, par exemp­le en tant que ver­si­on alpha, bêta ou pré­li­mi­n­aire, à con­di­ti­on que les logi­ciels non fina­li­sés ne soi­ent mis à dis­po­si­ti­on que pen­dant la durée néces­saire aux tests et à la coll­ec­te des infor­ma­ti­ons en retour. Les fab­ri­cants dev­rai­ent veil­ler à ce que les logi­ciels mis à dis­po­si­ti­on dans ces con­di­ti­ons ne soi­ent libé­rés qu’a­près une éva­lua­ti­on des ris­ques et répon­dent, dans la mesu­re du pos­si­ble, aux exi­gen­ces de sécu­ri­té du pré­sent règle­ment en ce qui con­cer­ne les carac­té­ri­sti­ques des pro­duits con­tenant des élé­ments numé­ri­ques. Les fab­ri­cants dev­rai­ent éga­le­ment mett­re en œuvre, dans la mesu­re du pos­si­ble, les exi­gen­ces rela­ti­ves au trai­te­ment des vul­né­ra­bi­li­tés. Les fab­ri­cants ne dev­rai­ent pas obli­ger les uti­li­sa­teurs à mett­re à jour des ver­si­ons qui n’ont été vali­dées qu’à des fins de test.
(38) Afin d’é­vi­ter que les pro­duits con­tenant des élé­ments numé­ri­ques ne pré­sen­tent des ris­ques de cyber­sé­cu­ri­té pour les per­son­nes et les orga­ni­sa­ti­ons lors de leur mise sur le mar­ché, il con­vi­ent de défi­nir des exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té pour ces pro­duits. Ces exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té, y com­pris les exi­gen­ces en matiè­re de gesti­on des vul­né­ra­bi­li­tés, s’ap­pli­quent à chaque pro­duit con­tenant des élé­ments numé­ri­ques lorsqu’il est mis sur le mar­ché, que le pro­duit con­tenant des élé­ments numé­ri­ques soit fab­ri­qué à l’u­ni­té ou en série. Par exemp­le, pour un type de pro­duit, chaque pro­duit numé­ri­que indi­vi­du­el doit avoir reçu tous les cor­rec­tifs de sécu­ri­té ou mises à jour dis­po­ni­bles pour résoud­re les pro­blè­mes de sécu­ri­té per­tin­ents lorsqu’il est mis sur le mar­ché. Si ces pro­duits con­tenant des élé­ments numé­ri­ques sont modi­fi­és ulté­ri­eu­re­ment, phy­si­quement ou numé­ri­quement, d’u­ne maniè­re non pré­vue par le fab­ri­cant dans l’éva­lua­ti­on initia­le des ris­ques et qui pour­rait les rend­re non con­for­mes aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té appli­ca­bles, la modi­fi­ca­ti­on dev­rait être con­sidé­rée com­me sub­stan­ti­el­le. Par exemp­le, les répa­ra­ti­ons pour­rai­ent être assi­milées à des opé­ra­ti­ons de main­ten­an­ce, à con­di­ti­on qu’el­les ne modi­fi­ent pas un pro­duit déjà mis sur le mar­ché et con­tenant des élé­ments numé­ri­ques d’u­ne maniè­re sus­cep­ti­ble de com­pro­mett­re la con­for­mi­té aux exi­gen­ces appli­ca­bles ou de modi­fier l’uti­li­sa­ti­on pré­vue pour laquel­le le pro­duit a été testé.
(39) Com­me pour les répa­ra­ti­ons ou les modi­fi­ca­ti­ons phy­si­ques, un pro­duit con­tenant des élé­ments numé­ri­ques doit être con­sidé­ré com­me ayant été modi­fié de maniè­re sub­stan­ti­el­le par une modi­fi­ca­ti­on logi­ciel­le si la mise à jour du logi­ciel chan­ge la desti­na­ti­on du pro­duit et que ces chan­ge­ments n’ont pas été pré­vus par le fab­ri­cant dans l’éva­lua­ti­on initia­le des ris­ques, ou si la natu­re du ris­que a chan­gé ou si le ris­que de cyber­sé­cu­ri­té a aug­men­té en rai­son de la mise à jour du logi­ciel et que la ver­si­on actua­li­sée du pro­duit est mise à dis­po­si­ti­on sur le mar­ché. Si une mise à jour de sécu­ri­té visa­nt à rédui­re le ris­que de cyber­sé­cu­ri­té d’un pro­duit con­tenant des élé­ments numé­ri­ques ne modi­fie pas la desti­na­ti­on d’un pro­duit con­tenant des élé­ments numé­ri­ques, elle n’est pas con­sidé­rée com­me une modi­fi­ca­ti­on sub­stan­ti­el­le. Cela inclut géné­ra­le­ment les cas où une mise à jour de sécu­ri­té n’en­traî­ne que des adap­t­ati­ons mineu­res du code source. Cela pour­rait être le cas, par exemp­le, lorsqu’u­ne mise à jour de sécu­ri­té cor­ri­ge une vul­né­ra­bi­li­té con­nue, y com­pris en modi­fi­ant les fonc­tion­na­li­tés ou les per­for­man­ces d’un pro­duit numé­ri­que dans le seul but de rédui­re le ris­que de cyber­sé­cu­ri­té. De même, une mise à jour mineu­re des fonc­tion­na­li­tés, tel­le qu’u­ne amé­lio­ra­ti­on visu­el­le ou l’a­jout de nou­vel­les lan­gues ou de nou­veaux pic­to­gram­mes à l’in­ter­face uti­li­sa­teur, ne dev­rait géné­ra­le­ment pas être con­sidé­rée com­me une modi­fi­ca­ti­on sub­stan­ti­el­le. l’in­ver­se, une mise à jour des fonc­tion­na­li­tés qui modi­fie les fonc­tion­na­li­tés initia­le­ment pré­vues ou la natu­re ou les per­for­man­ces d’un pro­duit con­tenant des élé­ments numé­ri­ques et qui répond aux critères sus­ment­i­onnés dev­rait être con­sidé­rée com­me une modi­fi­ca­ti­on sub­stan­ti­el­le, car l’a­jout de nou­vel­les fonc­tion­na­li­tés ent­raî­ne géné­ra­le­ment une aug­men­ta­ti­on de la sur­face d’at­taque et donc du ris­que de cyber­sé­cu­ri­té. Cela pour­rait être le cas, par exemp­le, lorsqu’un nou­vel élé­ment d’en­trée est ajou­té à une appli­ca­ti­on, de sor­te que le fab­ri­cant doit veil­ler à une vali­da­ti­on adé­qua­te de l’en­trée. Pour déter­mi­ner si une mise à jour fonc­tion­nel­le doit être con­sidé­rée com­me une modi­fi­ca­ti­on sub­stan­ti­el­le, il impor­te peu qu’el­le soit four­nie en tant que mise à jour sépa­rée ou en com­bi­nai­son avec une mise à jour de sécu­ri­té. La Com­mis­si­on dev­rait publier des ori­en­ta­ti­ons sur la maniè­re de déter­mi­ner ce qui con­sti­tue une modi­fi­ca­ti­on substantielle.
(40) Comp­te tenu de la natu­re répé­ti­ti­ve du déve­lo­p­pe­ment de logi­ciels, les fab­ri­cants qui ont mis sur le mar­ché de nou­vel­les ver­si­ons d’un pro­duit logi­ciel en rai­son d’u­ne modi­fi­ca­ti­on sub­stan­ti­el­le ulté­ri­eu­re du pro­duit dev­rai­ent être auto­ri­sés à pro­po­ser des mises à jour de sécu­ri­té pen­dant la péri­ode d’as­si­stance uni­quement pour la ver­si­on du pro­duit logi­ciel qu’ils ont mise sur le mar­ché en der­nier lieu. Ils ne dev­rai­ent être auto­ri­sés à le fai­re que si les uti­li­sa­teurs des ver­si­ons anté­ri­eu­res per­ti­nen­tes du pro­duit ont accès à la der­niè­re ver­si­on du pro­duit mise sur le mar­ché et s’ils n’ont pas à sup­port­er de coûts sup­p­lé­men­tai­res pour adap­ter l’en­vi­ron­ne­ment maté­ri­el ou logi­ciel dans lequel ils exploi­tent le pro­duit. Cela pour­rait être le cas, par exemp­le, si la mise à niveau du système d’ex­plo­ita­ti­on de l’or­di­na­teur de bureau ne néces­si­te pas de nou­veau maté­ri­el, par exemp­le une unité cen­tra­le plus rapi­de ou davan­ta­ge de mémoi­re. Néan­mo­ins, pen­dant la péri­ode d’as­si­stance, le fab­ri­cant dev­rait con­tin­uer à respec­ter d’aut­res exi­gen­ces en matiè­re de gesti­on des vul­né­ra­bi­li­tés, tel­les qu’u­ne poli­tique de divul­ga­ti­on coor­don­née des vul­né­ra­bi­li­tés ou des dis­po­si­ti­ons visa­nt à faci­li­ter l’é­ch­an­ge d’in­for­ma­ti­ons sur les vul­né­ra­bi­li­tés poten­ti­el­les pour tou­tes les ver­si­ons ulté­ri­eu­res du pro­duit logi­ciel com­mer­cia­li­sé qui ont été modi­fi­ées de maniè­re sub­stan­ti­el­le. Les fab­ri­cants dev­rai­ent avoir la pos­si­bi­li­té de ne four­nir des mises à jour mineu­res de sécu­ri­té ou de fonc­tion­na­li­tés qui ne con­sti­tu­ent pas une modi­fi­ca­ti­on sub­stan­ti­el­le que pour la der­niè­re ver­si­on ou sous-ver­si­on d’un pro­duit logi­ciel qui n’a pas été modi­fié de maniè­re sub­stan­ti­el­le. Par­al­lè­le­ment, lorsqu’un pro­duit maté­ri­el tel qu’un smart­phone n’est pas com­pa­ti­ble avec la der­niè­re ver­si­on du système d’ex­plo­ita­ti­on avec lequel il a été four­ni à l’o­ri­gi­ne, le fab­ri­cant dev­rait con­tin­uer à four­nir des mises à jour de sécu­ri­té pen­dant la péri­ode de sup­port, au moins pour la der­niè­re ver­si­on com­pa­ti­ble du système d’exploitation.
(41) Con­for­mé­ment au con­cept géné­ra­le­ment admis de modi­fi­ca­ti­on sub­stan­ti­el­le des pro­duits cou­verts par la légis­la­ti­on d’har­mo­ni­sa­ti­on de l’U­ni­on, il con­vi­ent, en cas de modi­fi­ca­ti­on sub­stan­ti­el­le sus­cep­ti­ble d’af­fec­ter la con­for­mi­té d’un pro­duit numé­ri­que au pré­sent règle­ment ou de chan­ge­ment de la desti­na­ti­on de ce pro­duit, de réex­ami­ner la con­for­mi­té du pro­duit numé­ri­que et, le cas échéant, de le sou­mett­re à une nou­vel­le éva­lua­ti­on de con­for­mi­té. Lorsque le fab­ri­cant procè­de à une éva­lua­ti­on de la con­for­mi­té avec la par­ti­ci­pa­ti­on d’un tiers, tout chan­ge­ment sus­cep­ti­ble d’en­traî­ner une modi­fi­ca­ti­on sub­stan­ti­el­le doit être noti­fié au tiers.
(42) Lorsqu’un pro­duit inté­grant des élé­ments numé­ri­ques fait l’ob­jet d’u­ne “révi­si­on”, d’un “ent­re­ti­en” et d’u­ne “répa­ra­ti­on” au sens de l’ar­tic­le 2, points 18, 19 et 20, du règle­ment (UE) 2024/1781 du Par­le­ment euro­pé­en et du Con­seil (19), cela n’en­traî­ne pas néces­saire­ment une modi­fi­ca­ti­on sub­stan­ti­el­le du pro­duit si, par exemp­le, sa desti­na­ti­on et ses fonc­tions ne sont pas modi­fi­ées et si le niveau de ris­que reste le même. Tou­te­fois, l’a­jout d’é­lé­ments numé­ri­ques à un pro­duit par le fab­ri­cant pour­rait ent­raî­ner des modi­fi­ca­ti­ons dans la con­cep­ti­on et le déve­lo­p­pe­ment du pro­duit et donc avoir une inci­dence sur sa desti­na­ti­on et sa con­for­mi­té aux exi­gen­ces fixées par le pré­sent règlement.
(43) Les pro­duits con­tenant des élé­ments numé­ri­ques doi­vent être con­sidé­rés com­me importants lorsque les effets néga­tifs de l’ex­plo­ita­ti­on de fail­les poten­ti­el­les dans la cyber­sé­cu­ri­té du pro­duit peu­vent être gra­ves, notam­ment en rai­son de sa fonc­tion de cyber­sé­cu­ri­té ou d’u­ne fonc­tion qui pré­sen­te un ris­que important d’ef­fets néga­tifs en ter­mes de por­tée et de pos­si­bi­li­té, de per­tur­ber, con­trô­ler ou endom­ma­ger un grand nombre d’aut­res pro­duits con­tenant des élé­ments numé­ri­ques ou de por­ter att­ein­te à la san­té, à la sécu­ri­té ou à l’in­té­gri­té de leurs uti­li­sa­teurs en les mani­pu­lant direc­te­ment, com­me une fonc­tion cen­tra­le du système, y com­pris la gesti­on du réseau, le con­trô­le de la con­fi­gu­ra­ti­on, la vir­tua­li­sa­ti­on ou le trai­te­ment de don­nées à carac­tère per­son­nel. En par­ti­cu­lier, les vul­né­ra­bi­li­tés des pro­duits con­tenant des élé­ments numé­ri­ques ayant une fonc­tion de cyber­sé­cu­ri­té, tels que les gesti­on­n­aires de démar­ra­ge, peu­vent ent­raî­ner une pro­pa­ga­ti­on des pro­blè­mes de sécu­ri­té dans l’en­sem­ble de la chaî­ne d’ap­pro­vi­si­on­ne­ment. La gra­vi­té de l’im­pact d’un inci­dent de sécu­ri­té peut éga­le­ment aug­men­ter si le pro­duit exer­ce prin­ci­pa­le­ment une fonc­tion cen­tra­le du système, y com­pris la gesti­on du réseau, le con­trô­le de la con­fi­gu­ra­ti­on, la vir­tua­li­sa­ti­on ou le trai­te­ment de don­nées à carac­tère personnel.
(44) Cer­tai­nes caté­go­ries de pro­duits con­tenant des élé­ments numé­ri­ques dev­rai­ent être sou­mi­ses à des pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té plus stric­tes, tout en respec­tant le prin­ci­pe de pro­por­ti­on­na­li­té. cet­te fin, les pro­duits importants con­tenant des élé­ments numé­ri­ques dev­rai­ent être divi­sés en deux clas­ses, reflé­tant le ris­que de cyber­sé­cu­ri­té asso­cié à ces caté­go­ries de pro­duits. Un inci­dent de sécu­ri­té impli­quant des pro­duits essen­tiels con­tenant des élé­ments numé­ri­ques rele­vant de la clas­se II pour­rait avoir des con­sé­quen­ces néga­ti­ves plus importan­tes qu’un inci­dent de sécu­ri­té impli­quant des pro­duits essen­tiels con­tenant des élé­ments numé­ri­ques rele­vant de la clas­se I, par exemp­le en rai­son de la natu­re de leur fonc­tion de cyber­sé­cu­ri­té ou de l’e­xer­ci­ce d’u­ne aut­re fonc­tion qui com­por­te un ris­que important d’ef­fets néga­tifs. Une indi­ca­ti­on d’ef­fets néga­tifs majeurs pour­rait être que les pro­duits con­tenant des élé­ments numé­ri­ques qui relè­vent de la clas­se II rem­plis­sent soit une fonc­tion de cyber­sé­cu­ri­té, soit une aut­re fonc­tion impli­quant un ris­que plus éle­vé d’ef­fets néga­tifs que les pro­duits de la clas­se I, soit les deux critères sus­ment­i­onnés. Les pro­duits importants con­tenant des élé­ments numé­ri­ques qui relè­vent de la clas­se II dev­rai­ent donc être sou­mis à une pro­cé­du­re d’éva­lua­ti­on de la con­for­mi­té plus stricte.
(45) Les pro­duits importants con­tenant des élé­ments numé­ri­ques aux­quels il est fait réfé­rence dans le pré­sent règle­ment doi­vent être enten­dus com­me des pro­duits qui rem­plis­sent la fonc­tion essen­ti­el­le d’u­ne caté­go­rie de pro­duits importants con­tenant des élé­ments numé­ri­ques défi­nie dans le pré­sent règle­ment. Par exemp­le, le pré­sent règle­ment éta­blit des caté­go­ries de pro­duits importants con­tenant des élé­ments numé­ri­ques qui sont défi­nis par leur fonc­tion prin­ci­pa­le com­me des pare-feu ou des systè­mes de détec­tion d’in­tru­si­on ou de pré­ven­ti­on d’in­tru­si­on de clas­se II. Par con­sé­quent, les pare-feu et les systè­mes de détec­tion d’in­tru­si­on et de pré­ven­ti­on d’in­tru­si­on sont sou­mis à une éva­lua­ti­on de con­for­mi­té obli­ga­toire par un tiers. Cela ne s’ap­pli­que pas aux aut­res pro­duits con­tenant des élé­ments numé­ri­ques qui ne sont pas clas­sés com­me pro­duits importants con­tenant des élé­ments numé­ri­ques et qui peu­vent con­te­nir des pare-feu ou des systè­mes de détec­tion d’in­tru­si­on ou des systè­mes de pré­ven­ti­on d’in­tru­si­on. La Com­mis­si­on dev­rait adop­ter un acte d’exé­cu­ti­on afin de pré­cis­er la descrip­ti­on tech­ni­que des caté­go­ries de pro­duits importants con­tenant des élé­ments numé­ri­ques qui relè­vent des clas­ses I et II con­for­mé­ment au pré­sent règlement.
(46) Les caté­go­ries de pro­duits cri­ti­ques con­tenant des élé­ments numé­ri­ques défi­nies dans le pré­sent règle­ment sont asso­ciées à une fonc­tion de cyber­sé­cu­ri­té et sont uti­li­sées pour une fonc­tion qui pré­sen­te un ris­que important d’ef­fets néga­tifs, comp­te tenu de sa por­tée et de sa capa­ci­té à per­tur­ber, con­trô­ler ou endom­ma­ger un grand nombre d’aut­res pro­duits con­tenant des élé­ments numé­ri­ques en les mani­pu­lant direc­te­ment. En out­re, ces caté­go­ries de pro­duits con­tenant des élé­ments numé­ri­ques sont con­sidé­rées com­me des dépen­dan­ces cri­ti­ques pour les équi­pe­ments essen­tiels visés à l’ar­tic­le 3, para­gra­phe 1, de la direc­ti­ve (UE) 2022/2555. Les caté­go­ries de pro­duits cri­ti­ques con­tenant des élé­ments numé­ri­ques, qui sont énu­mé­rées dans une anne­xe du pré­sent règle­ment en rai­son de leur cri­ti­ci­té, uti­li­sent déjà sou­vent dif­fé­ren­tes for­mes de cer­ti­fi­ca­ti­on et sont éga­le­ment cou­ver­tes par le système euro­pé­en de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té (EUCC) fon­dé sur des critères com­muns, éta­b­li par le règle­ment d’exé­cu­ti­on (UE) 2024/482(20) . Afin d’assurer une pro­tec­tion adé­qua­te com­mu­ne de la cyber­sé­cu­ri­té des pro­duits cri­ti­ques con­tenant des élé­ments numé­ri­ques dans l’U­ni­on, il pour­rait donc être appro­prié et pro­por­ti­onné de sou­mett­re ces caté­go­ries de pro­duits à une cer­ti­fi­ca­ti­on euro­pé­en­ne obli­ga­toire en matiè­re de cyber­sé­cu­ri­té au moy­en d’un acte délé­gué, lorsqu’un système euro­pé­en per­ti­nent de cer­ti­fi­ca­ti­on en matiè­re de cyber­sé­cu­ri­té exi­ste déjà pour ces pro­duits et que la Com­mis­si­on a pro­cé­dé à une éva­lua­ti­on de l’in­ci­dence poten­ti­el­le sur le mar­ché de la cer­ti­fi­ca­ti­on obli­ga­toire envi­sa­gée. Cet­te éva­lua­ti­on dev­rait tenir comp­te à la fois de l’off­re et de la deman­de, y com­pris de la que­sti­on de savoir s’il exi­ste une deman­de suf­fi­san­te pour les pro­duits inté­grant des élé­ments numé­ri­ques con­cer­nés, tant de la part des États mem­bres que des uti­li­sa­teurs, pour qu’u­ne cer­ti­fi­ca­ti­on euro­pé­en­ne en matiè­re de cyber­sé­cu­ri­té soit néces­saire, et des fins aux­quel­les les pro­duits inté­grant des élé­ments numé­ri­ques sont desti­nés à être uti­li­sés, y com­pris les dépen­dan­ces cri­ti­ques à leur égard de la part des enti­tés essen­ti­el­les visées à l’ar­tic­le 3, para­gra­phe 1, de la direc­ti­ve (UE) 2022/2555. L’éva­lua­ti­on dev­rait éga­le­ment ana­ly­ser l’im­pact poten­tiel de la cer­ti­fi­ca­ti­on obli­ga­toire sur la dis­po­ni­bi­li­té de ces pro­duits sur le mar­ché inté­ri­eur, ain­si que les capa­ci­tés et la volon­té des États mem­bres de mett­re en œuvre les systè­mes euro­pé­ens de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té pertinents.
(47) Les actes délé­gués impo­sant une cer­ti­fi­ca­ti­on euro­pé­en­ne obli­ga­toire en matiè­re de cyber­sé­cu­ri­té dev­rai­ent déter­mi­ner les pro­duits con­tenant des élé­ments numé­ri­ques qui pré­sen­tent les fonc­tions essen­ti­el­les d’u­ne caté­go­rie de pro­duits cri­ti­ques con­tenant des élé­ments numé­ri­ques défi­nis dans le pré­sent règle­ment et devant être sou­mis à une cer­ti­fi­ca­ti­on obli­ga­toire, ain­si que le niveau de con­fi­ance requis, qui dev­rait être au moins “moy­en”. Le niveau de con­fi­ance requis doit être pro­por­ti­on­nel au niveau de ris­que de cyber­sé­cu­ri­té asso­cié au pro­duit con­tenant des élé­ments numé­ri­ques. Par exemp­le, si le pro­duit con­tenant des élé­ments numé­ri­ques pré­sen­te la fonc­tion essen­ti­el­le d’u­ne caté­go­rie de pro­duits cri­ti­ques con­tenant des élé­ments numé­ri­ques défi­nie dans le pré­sent règle­ment et est desti­né à être uti­li­sé dans un envi­ron­ne­ment sen­si­ble ou cri­tique, com­me les pro­duits desti­nés à être uti­li­sés par les instal­la­ti­ons essen­ti­el­les visées à l’ar­tic­le 3, para­gra­phe 1, de la direc­ti­ve (UE) 2022/2555, le niveau de con­fi­ance le plus éle­vé peut être requis.
(48) Afin d’assurer une pro­tec­tion com­mu­ne et adé­qua­te de la cyber­sé­cu­ri­té des pro­duits con­tenant des élé­ments numé­ri­ques dans l’U­ni­on, qui pré­sen­tent la fonc­tion essen­ti­el­le d’u­ne caté­go­rie de pro­duits cri­ti­ques con­tenant des élé­ments numé­ri­ques défi­nie dans le pré­sent règle­ment, il con­vi­ent éga­le­ment de délé­guer à la Com­mis­si­on le pou­voir d’ad­op­ter des actes délé­gués modi­fi­ant le pré­sent règle­ment, en ajoutant ou en sup­p­ri­mant des caté­go­ries de pro­duits cri­ti­ques con­tenant des élé­ments numé­ri­ques pour les­quel­les les fab­ri­cants pour­rai­ent être tenus d’ob­te­nir un cer­ti­fi­cat euro­pé­en de cyber­sé­cu­ri­té dans le cad­re d’un sché­ma euro­pé­en de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té, con­for­mé­ment au règle­ment (UE) 2019/881, afin de démon­trer leur con­for­mi­té au pré­sent règle­ment. Une nou­vel­le caté­go­rie de pro­duits cri­ti­ques con­tenant des élé­ments numé­ri­ques peut être ajou­tée à ces caté­go­ries s’il exi­ste une dépen­dance cri­tique des instal­la­ti­ons essen­ti­el­les visées à l’ar­tic­le 3, para­gra­phe 1, de la direc­ti­ve (UE) 2022/2555 à l’é­gard de ces pro­duits ou s’ils sont tou­chés par des inci­dents de sécu­ri­té ou con­ti­en­nent des vul­né­ra­bi­li­tés exploi­tées, ce qui pour­rait ent­raî­ner des per­tur­ba­ti­ons des chaî­nes d’ap­pro­vi­si­on­ne­ment cri­ti­ques. Lorsqu’el­le éva­lue la néces­si­té d’a­jou­ter ou de sup­p­ri­mer des caté­go­ries de pro­duits cri­ti­ques con­tenant des élé­ments numé­ri­ques au moy­en d’un acte délé­gué, la Com­mis­si­on dev­rait pou­voir tenir comp­te du fait que les États mem­bres ont recen­sé, au niveau natio­nal, les pro­duits con­tenant des élé­ments numé­ri­ques qui sont essen­tiels pour la rési­li­ence des instal­la­ti­ons essen­ti­el­les au sens de l’ar­tic­le 3, para­gra­phe 1, de la direc­ti­ve (UE) 2022/2555 et qui sont de plus en plus expo­sés à des cyberat­ta­ques dans la chaî­ne d’ap­pro­vi­si­on­ne­ment, ce qui pour­rait ent­raî­ner de gra­ves per­tur­ba­ti­ons. En out­re, la Com­mis­si­on dev­rait pou­voir tenir comp­te du résul­tat des éva­lua­tions coor­don­nées des ris­ques en matiè­re de sûre­té de la chaî­ne d’ap­pro­vi­si­on­ne­ment cri­tique au niveau de l’U­ni­on, réa­li­sées con­for­mé­ment à l’ar­tic­le 22 de la direc­ti­ve (UE) 2022/2555.
(49) La Com­mis­si­on dev­rait veil­ler à ce qu’un lar­ge éven­tail de par­ties pren­an­tes con­cer­nées soit con­sul­té de maniè­re struc­tu­rée et régu­liè­re lors de l’é­la­bo­ra­ti­on des mesu­res d’ap­pli­ca­ti­on du pré­sent règle­ment. Cela dev­rait notam­ment être le cas lorsque la Com­mis­si­on exami­ne l’é­ven­tu­el­le néces­si­té d’ac­tua­li­ser les listes des caté­go­ries de pro­duits importants ou cri­ti­ques con­tenant des élé­ments numé­ri­ques, en con­sul­tant les fab­ri­cants con­cer­nés et en tenant comp­te de leur point de vue, afin d’ana­ly­ser les ris­ques en matiè­re de cyber­sé­cu­ri­té et le rap­port coût-effi­ca­ci­té liés au clas­se­ment de ces caté­go­ries de pro­duits com­me importants ou critiques.
(50) Ce règle­ment per­met de s’at­ta­quer aux ris­ques de cyber­sé­cu­ri­té de maniè­re ciblée. Tou­te­fois, les pro­duits con­tenant des élé­ments numé­ri­ques peu­vent pré­sen­ter d’aut­res ris­ques pour la sécu­ri­té, qui ne sont pas tou­jours liés à la cyber­sé­cu­ri­té, mais qui peu­vent résul­ter d’u­ne att­ein­te à la sécu­ri­té. Ces ris­ques dev­rai­ent con­tin­uer à être régis par une légis­la­ti­on d’har­mo­ni­sa­ti­on de l’U­ni­on per­ti­nen­te aut­re que le pré­sent règle­ment. Si aucu­ne légis­la­ti­on d’har­mo­ni­sa­ti­on de l’U­ni­on aut­re que le pré­sent règle­ment n’est appli­ca­ble, ils dev­rai­ent être sou­mis au règle­ment (UE) 2023/988 du Par­le­ment euro­pé­en et du Con­seil (21). Par con­sé­quent, comp­te tenu du cibla­ge du pré­sent règle­ment, par déro­ga­ti­on à l’ar­tic­le 2, para­gra­phe 1, troi­siè­me ali­néa, point b), du règle­ment (UE) 2023/988 en ce qui con­cer­ne les ris­ques pour la sécu­ri­té non cou­verts par le pré­sent règle­ment, le cha­pit­re III, sec­tion 1, les cha­pi­t­res V et VII et les cha­pi­t­res IX à XI du règle­ment (UE) 2023/988 dev­rai­ent éga­le­ment s’ap­pli­quer aux pro­duits con­tenant des élé­ments numé­ri­ques si ces pro­duits ne sont pas sou­mis à des exi­gen­ces spé­ci­fi­ques de la légis­la­ti­on d’har­mo­ni­sa­ti­on de l’U­ni­on aut­re que le pré­sent règle­ment, au sens de l’ar­tic­le 3, point 27, du règle­ment (UE) 2023/988.
(51) Les pro­duits con­tenant des élé­ments numé­ri­ques qui sont con­sidé­rés com­me des systè­mes d’in­tel­li­gence arti­fi­ci­el­le à haut ris­que con­for­mé­ment à l’ar­tic­le 6 du règle­ment (UE) 2024/1689 du Par­le­ment euro­pé­en et du Con­seil (22) et qui relè­vent du champ d’ap­pli­ca­ti­on du pré­sent règle­ment doi­vent satis­fai­re aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té éta­b­lies dans le pré­sent règle­ment. Lorsque ces systè­mes d’IA à haut ris­que satis­font aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées dans le pré­sent règle­ment, ils sont répu­tés satis­fai­re aux exi­gen­ces de cyber­sé­cu­ri­té visées à l’ar­tic­le 15 du règle­ment (UE) 2024/1689, dans la mesu­re où ces exi­gen­ces sont cou­ver­tes par la décla­ra­ti­on UE de con­for­mi­té ou des par­ties de cel­le-ci, déli­v­rée en ver­tu du pré­sent règle­ment. cet­te fin, l’éva­lua­ti­on des ris­ques de cyber­sé­cu­ri­té asso­ciés à un pro­duit con­tenant des élé­ments numé­ri­ques, clas­sé com­me système d’in­tel­li­gence arti­fi­ci­el­le à haut ris­que con­for­mé­ment au règle­ment (UE) 2024/1689, qui doit être pri­se en comp­te pen­dant les pha­ses de pla­ni­fi­ca­ti­on, de con­cep­ti­on, de déve­lo­p­pe­ment, de pro­duc­tion, de liv­rai­son et d’en­tre­ti­en d’un tel pro­duit, com­me le pré­voit le pré­sent règle­ment, les ris­ques pour la cyber-rési­li­ence d’un système d’IA sont pris en comp­te en ce qui con­cer­ne les ten­ta­ti­ves de tiers non auto­ri­sés de modi­fier l’uti­li­sa­ti­on, le com­porte­ment ou les per­for­man­ces du système, y com­pris les vul­né­ra­bi­li­tés spé­ci­fi­ques à l’IA tel­les que l’em­poi­son­ne­ment de don­nées ou les atta­ques adver­ses, et, le cas échéant, les ris­ques pour les droits fon­da­men­taux, con­for­mé­ment au règle­ment (UE) 2024/1689. En ce qui con­cer­ne les pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té appli­ca­bles à un pro­duit con­tenant des élé­ments numé­ri­ques rele­vant du champ d’ap­pli­ca­ti­on du pré­sent règle­ment et clas­sé com­me système d’IA à haut ris­que, l’ar­tic­le 43 du règle­ment (UE) 2024/1689 dev­rait en prin­ci­pe s’ap­pli­quer au lieu des dis­po­si­ti­ons per­ti­nen­tes du pré­sent règle­ment. Tou­te­fois, cet­te règ­le ne dev­rait pas avoir pour effet de rédui­re le niveau de con­fi­ance requis pour les pro­duits importants ou cri­ti­ques con­tenant des élé­ments numé­ri­ques visés dans le pré­sent règle­ment. Par con­sé­quent, par déro­ga­ti­on à cet­te règ­le, les systè­mes d’IA à haut ris­que qui relè­vent du champ d’ap­pli­ca­ti­on du règle­ment (UE) 2024/1689 et qui sont éga­le­ment des pro­duits importants ou cri­ti­ques con­tenant des élé­ments numé­ri­ques, tels que visés dans le pré­sent règle­ment, et aux­quels la pro­cé­du­re d’éva­lua­ti­on de la con­for­mi­té est appli­quée sur la base d’un con­trô­le inter­ne con­for­mé­ment à l’an­ne­xe VI du règle­ment (UE) 2024/1689, dev­rai­ent être sou­mis aux pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té pré­vues par le pré­sent règle­ment dans la mesu­re où les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té défi­nies dans le pré­sent règle­ment sont con­cer­nées. Dans ce cas, pour tous les aut­res aspects cou­verts par le règle­ment (UE) 2024/1689, les dis­po­si­ti­ons per­ti­nen­tes rela­ti­ves à l’éva­lua­ti­on de la con­for­mi­té sur la base d’un con­trô­le inter­ne con­for­mé­ment à l’an­ne­xe VI dudit règle­ment doi­vent s’appliquer.
(52) Afin de ren­forcer la sécu­ri­té des pro­duits con­tenant des élé­ments numé­ri­ques qui sont mis sur le mar­ché inté­ri­eur, il est néces­saire de défi­nir des exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té appli­ca­bles à ces pro­duits. Ces exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té doi­vent être sans pré­ju­di­ce des éva­lua­tions coor­don­nées des ris­ques en matiè­re de sûre­té de la chaî­ne d’ap­pro­vi­si­on­ne­ment cri­tique au niveau de l’U­ni­on, pré­vues à l’ar­tic­le 22 de la direc­ti­ve (UE) 2022/2555, qui tien­nent comp­te des fac­teurs de ris­que tech­ni­ques et, le cas échéant, non tech­ni­ques, tels que l’in­fluence indue d’un pays tiers sur les four­nis­seurs. En out­re, elles ne dev­rai­ent pas por­ter att­ein­te aux pré­ro­ga­ti­ves des États mem­bres de fixer des exi­gen­ces sup­p­lé­men­tai­res tenant comp­te des fac­teurs non tech­ni­ques afin d’assurer un niveau éle­vé de rési­li­ence, y com­pris cel­les défi­nies dans la recom­man­da­ti­on (UE) 2019/534 de la Com­mis­si­on (23), dans l’éva­lua­ti­on des ris­ques coor­don­née à l’é­chel­le de l’U­ni­on con­cer­nant la cyber­sé­cu­ri­té des réseaux 5G et dans les outils de l’U­ni­on en matiè­re de cyber­sé­cu­ri­té 5G adop­tés par le grou­pe de coopé­ra­ti­on SRI éta­b­li con­for­mé­ment à l’ar­tic­le 14 de la direc­ti­ve (UE) 2022/2555.
(53) Les fab­ri­cants de pro­duits rele­vant du champ d’ap­pli­ca­ti­on du règle­ment (UE) 2023/1230 du Par­le­ment euro­pé­en et du Con­seil (24), dont les pro­duits sont éga­le­ment des pro­duits con­tenant des élé­ments numé­ri­ques au sens du pré­sent règle­ment, dev­rai­ent satis­fai­re à la fois aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té du pré­sent règle­ment et aux exi­gen­ces essen­ti­el­les de san­té et de sécu­ri­té du règle­ment (UE) 2023/1230. Les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té éta­b­lies par le pré­sent règle­ment et cer­tai­nes exi­gen­ces essen­ti­el­les du règle­ment (UE) 2023/1230 peu­vent con­cer­ner des ris­ques de cyber­sé­cu­ri­té simi­lai­res. Par con­sé­quent, la con­for­mi­té aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té défi­nies dans le pré­sent règle­ment pour­rait faci­li­ter la con­for­mi­té aux exi­gen­ces essen­ti­el­les qui cou­vrent éga­le­ment cer­ta­ins ris­ques de cyber­sé­cu­ri­té défi­nis dans le règle­ment (UE) 2023/1230, en par­ti­cu­lier les exi­gen­ces rela­ti­ves à la pro­tec­tion cont­re la cor­rup­ti­on et à la sécu­ri­té et la fia­bi­li­té des systè­mes de com­man­de visées à l’an­ne­xe III, points 1.1.9 et 1.2.1, dudit règle­ment. De tel­les syn­er­gies doi­vent être démon­trées par le fab­ri­cant, par exemp­le par l’ap­pli­ca­ti­on de nor­mes har­mo­ni­sées ou d’aut­res spé­ci­fi­ca­ti­ons tech­ni­ques couvrant les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té per­ti­nen­tes, après avoir effec­tué une éva­lua­ti­on des ris­ques pour les ris­ques de cyber­sé­cu­ri­té cor­re­spond­ants. Le fab­ri­cant doit éga­le­ment sui­v­re les pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té appli­ca­bles con­for­mé­ment au pré­sent règle­ment et au règle­ment (UE) 2023/1230. La Com­mis­si­on et les orga­nis­mes euro­pé­ens de nor­ma­li­sa­ti­on dev­rai­ent pro­mou­voir la cohé­rence dans les travaux pré­pa­ra­toires à l’ap­pui de la mise en œuvre du pré­sent règle­ment et du règle­ment (UE) 2023/1230 et des pro­cé­du­res de nor­ma­li­sa­ti­on con­ne­xes, en ce qui con­cer­ne l’éva­lua­ti­on des ris­ques liés à la cyber­sé­cu­ri­té et la maniè­re dont ces ris­ques doi­vent être cou­verts par des nor­mes har­mo­ni­sées au regard des exi­gen­ces essen­ti­el­les per­ti­nen­tes. En par­ti­cu­lier, la Com­mis­si­on et les orga­nis­mes euro­pé­ens de nor­ma­li­sa­ti­on dev­rai­ent tenir comp­te du pré­sent règle­ment lors de l’é­la­bo­ra­ti­on et du déve­lo­p­pe­ment de nor­mes har­mo­ni­sées afin de faci­li­ter la mise en œuvre du règle­ment (UE) 2023/1230, notam­ment en ce qui con­cer­ne les aspects de cyber­sé­cu­ri­té liés à la pro­tec­tion cont­re la cor­rup­ti­on ain­si qu’à la sécu­ri­té et à la fia­bi­li­té des systè­mes de com­man­de visés aux points 1.1.9 et 1.2.1 de l’an­ne­xe III dudit règle­ment. La Com­mis­si­on dev­rait four­nir des ori­en­ta­ti­ons pour aider les fab­ri­cants sou­mis au pré­sent règle­ment ain­si qu’au règle­ment (UE) 2023/1230, notam­ment pour faci­li­ter la démon­stra­ti­on de la con­for­mi­té aux exi­gen­ces essen­ti­el­les per­ti­nen­tes du pré­sent règle­ment et du règle­ment (UE) 2023/1230.
(54) Afin de garan­tir la sécu­ri­té des pro­duits numé­ri­ques, tant au moment de leur mise sur le mar­ché que pen­dant la durée de vie pré­vue du pro­duit numé­ri­que, il est néces­saire de défi­nir des exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té pour la gesti­on des vul­né­ra­bi­li­tés et des exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té pour les carac­té­ri­sti­ques des pro­duits numé­ri­ques. Les fab­ri­cants doi­vent à la fois respec­ter tou­tes les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té rela­ti­ves à la gesti­on des vul­né­ra­bi­li­tés pen­dant tou­te la péri­ode d’as­si­stance et déter­mi­ner quel­les aut­res exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té rela­ti­ves aux carac­té­ri­sti­ques du pro­duit sont per­ti­nen­tes pour le type de pro­duit numé­ri­que con­cer­né. cet­te fin, les fab­ri­cants dev­rai­ent pro­cé­der à une éva­lua­ti­on des ris­ques de cyber­sé­cu­ri­té asso­ciés à un pro­duit numé­ri­que afin d’i­den­ti­fier les ris­ques per­tin­ents et les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té, de maniè­re à four­nir leurs pro­duits numé­ri­ques sans vul­né­ra­bi­li­tés explo­ita­bles con­nues sus­cep­ti­bles d’a­voir une inci­dence sur la sécu­ri­té de ces pro­duits, et à appli­quer de maniè­re appro­priée les nor­mes har­mo­ni­sées, les spé­ci­fi­ca­ti­ons com­mu­nes ou les nor­mes euro­pé­en­nes ou inter­na­tio­na­les appropriées.
(55) Si cer­tai­nes exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té ne s’ap­pli­quent pas à un pro­duit con­tenant des élé­ments numé­ri­ques, le fab­ri­cant dev­rait le justi­fier clai­re­ment dans l’éva­lua­ti­on des ris­ques en matiè­re de cyber­sé­cu­ri­té join­te à la docu­men­ta­ti­on tech­ni­que. Cela pour­rait être le cas si une exi­gence essen­ti­el­le de cyber­sé­cu­ri­té est incom­pa­ti­ble avec la natu­re d’un pro­duit con­tenant des élé­ments numé­ri­ques. Par exemp­le, la fina­li­té d’un pro­duit con­tenant des élé­ments numé­ri­ques peut exi­ger que le fab­ri­cant se con­for­me à des nor­mes d’in­teropé­ra­bi­li­té lar­ge­ment recon­nues, même si ses carac­té­ri­sti­ques de sécu­ri­té ne cor­re­spon­dent plus à l’é­tat de l’art. D’aut­res tex­tes légis­la­tifs de l’U­ni­on exi­gent éga­le­ment que les fab­ri­cants se con­for­ment à des exi­gen­ces d’in­teropé­ra­bi­li­té spé­ci­fi­ques. Si une exi­gence essen­ti­el­le de cyber­sé­cu­ri­té ne s’ap­pli­que pas à un pro­duit con­tenant des élé­ments numé­ri­ques, mais que le fab­ri­cant a iden­ti­fié des ris­ques de cyber­sé­cu­ri­té liés à cet­te exi­gence essen­ti­el­le de cyber­sé­cu­ri­té, il doit prend­re des mesu­res pour fai­re face à ces ris­ques par d’aut­res moy­ens, par exemp­le en limi­tant l’uti­li­sa­ti­on pré­vue du pro­duit à des envi­ron­ne­ments de con­fi­ance ou en infor­mant les uti­li­sa­teurs de ces risques.
(56) L’u­ne des prin­ci­pa­les mesu­res que les uti­li­sa­teurs doi­vent prend­re pour pro­té­ger leurs pro­duits numé­ri­ques cont­re les cyberat­ta­ques est d’in­stal­ler le plus rapi­de­ment pos­si­ble les der­niè­res mises à jour de sécu­ri­té dis­po­ni­bles. Les fab­ri­cants dev­rai­ent donc conce­voir leurs pro­duits et mett­re en place des pro­cé­du­res pour que les pro­duits numé­ri­ques intègrent des fonc­tions auto­ma­ti­ques de noti­fi­ca­ti­on, de dis­tri­bu­ti­on, de télé­char­ge­ment et d’in­stal­la­ti­on des mises à jour de sécu­ri­té, en par­ti­cu­lier dans le cas des pro­duits grand public. Ils dev­rai­ent éga­le­ment offrir la pos­si­bi­li­té d’ap­prou­ver, en tant qu’é­tape fina­le, le télé­char­ge­ment et l’in­stal­la­ti­on des mises à jour de sécu­ri­té. Les uti­li­sa­teurs dev­rai­ent con­tin­uer à avoir la pos­si­bi­li­té de désac­ti­ver les mises à jour auto­ma­ti­ques, au moy­en d’u­ne pro­cé­du­re clai­re et faci­le à uti­li­ser, com­plé­tée par des expli­ca­ti­ons clai­res sur la maniè­re dont les uti­li­sa­teurs peu­vent renon­cer aux mises à jour. Les exi­gen­ces rela­ti­ves aux mises à jour auto­ma­ti­ques énon­cées dans une anne­xe du pré­sent règle­ment ne s’ap­pli­quent pas aux pro­duits con­tenant des élé­ments numé­ri­ques qui sont prin­ci­pa­le­ment desti­nés à être inté­g­rés en tant que com­po­sants dans d’aut­res pro­duits. Elles ne s’ap­pli­quent pas non plus aux pro­duits con­tenant des élé­ments numé­ri­ques pour les­quels les uti­li­sa­teurs ne s’at­ten­drai­ent nor­ma­le­ment pas à des mises à jour auto­ma­ti­ques, y com­pris les pro­duits con­tenant des élé­ments numé­ri­ques desti­nés à être uti­li­sés dans des réseaux TIC pro­fes­si­on­nels et, en par­ti­cu­lier, dans des envi­ron­ne­ments cri­ti­ques et indu­stri­els dans les­quels une mise à jour auto­ma­tique pour­rait ent­raî­ner des per­tur­ba­ti­ons du fonc­tion­ne­ment. Qu’un pro­duit numé­ri­que soit con­çu pour rece­voir des mises à jour auto­ma­ti­ques ou non, son fab­ri­cant dev­rait infor­mer les uti­li­sa­teurs des vul­né­ra­bi­li­tés et four­nir des mises à jour de sécu­ri­té sans délai. Lorsqu’un pro­duit numé­ri­que dis­po­se d’u­ne inter­face uti­li­sa­teur ou de moy­ens tech­ni­ques simi­lai­res per­met­tant une inter­ac­tion direc­te avec ses uti­li­sa­teurs, le fab­ri­cant dev­rait uti­li­ser ces fonc­tions pour infor­mer les uti­li­sa­teurs que leur pro­duit numé­ri­que a att­eint la fin de la péri­ode d’as­si­stance. Ces mes­sa­ges dev­rai­ent être limi­tés à ce qui est néces­saire pour assurer la récep­ti­on effec­ti­ve de ces infor­ma­ti­ons et ne dev­rai­ent pas avoir d’in­ci­dence néga­ti­ve sur l’expé­ri­ence de l’uti­li­sa­teur du pro­duit numérique.
(57) Afin de rend­re les pro­cé­du­res de gesti­on des vul­né­ra­bi­li­tés plus trans­pa­ren­tes et de garan­tir que les uti­li­sa­teurs ne sont pas obli­gés d’in­stal­ler de nou­vel­les mises à jour de fonc­tion­na­li­tés uni­quement pour obte­nir les der­niè­res mises à jour de sécu­ri­té, les fab­ri­cants dev­rai­ent veil­ler à ce que les nou­vel­les mises à jour de sécu­ri­té soi­ent four­nies sépa­ré­ment des mises à jour de fonc­tion­na­li­tés, lorsque cela est tech­ni­quement possible.
(58) La com­mu­ni­ca­ti­on con­join­te de la Com­mis­si­on et du haut repré­sen­tant de l’U­ni­on pour les affai­res étran­gè­res et la poli­tique de sécu­ri­té du 20 juin 2023 sur une “stra­té­gie euro­pé­en­ne de sécu­ri­té éco­no­mi­que” indi­que que l’U­ni­on doit maxi­mi­ser les avan­ta­ges de son ouver­tu­re éco­no­mi­que tout en rédui­sant au mini­mum les ris­ques liés aux dépen­dan­ces éco­no­mi­ques vis-à-vis de four­nis­seurs à haut ris­que, grâ­ce à un cad­re stra­té­gique com­mun pour la sécu­ri­té éco­no­mi­que de l’U­ni­on. La dépen­dance à l’é­gard de four­nis­seurs de pro­duits con­tenant des élé­ments numé­ri­ques à haut ris­que peut con­sti­tuer un ris­que stra­té­gique qui doit être abor­dé au niveau de l’U­ni­on, en par­ti­cu­lier lorsque les pro­duits con­tenant des élé­ments numé­ri­ques sont desti­nés à être uti­li­sés par les enti­tés essen­ti­el­les visées à l’ar­tic­le 3, para­gra­phe 1, de la direc­ti­ve (UE) 2022/2555. Ces ris­ques peu­vent être liés, ent­re aut­res, à la juri­dic­tion appli­ca­ble au fab­ri­cant, aux carac­té­ri­sti­ques de sa pro­prié­té d’entre­pri­se et aux rela­ti­ons déter­mi­nées par le con­trô­le avec le gou­ver­ne­ment d’un pays tiers dans lequel il est éta­b­li, notam­ment si le pays tiers se liv­re à de l’e­spion­na­ge éco­no­mi­que ou adop­te un com­porte­ment gou­ver­ne­men­tal irre­sponsable dans le cybere­space et si ses lois per­met­tent un accès arbi­trai­re à des tran­sac­tions com­mer­cia­les ou à des don­nées d’entre­pri­se de tou­te natu­re, y com­pris des don­nées com­mer­cia­le­ment sen­si­bles, et peut impo­ser des obli­ga­ti­ons de rens­eig­ne­ment en l’ab­sence de garan­ties démo­cra­ti­ques, de méca­nis­mes de con­trô­le, de pro­cé­du­res adé­qua­tes ou de droit de recours à un tri­bu­nal indé­pen­dant. Lors de la déter­mi­na­ti­on de l’im­portance d’un ris­que de cyber­sé­cu­ri­té aux fins du pré­sent règle­ment, la Com­mis­si­on et les auto­ri­tés de sur­veil­lan­ce du mar­ché dev­rai­ent éga­le­ment tenir comp­te, dans le cad­re de leurs responsa­bi­li­tés défi­nies dans le pré­sent règle­ment, des fac­teurs de ris­que non tech­ni­ques, notam­ment ceux qui ont été iden­ti­fi­és à la suite d’éva­lua­tions coor­don­nées des ris­ques liés à la sécu­ri­té de la chaî­ne d’ap­pro­vi­si­on­ne­ment au niveau de l’U­ni­on, réa­li­sées con­for­mé­ment à l’ar­tic­le 22 de la direc­ti­ve (UE) 2022/2555.
(59) Afin de garan­tir la sécu­ri­té des pro­duits numé­ri­ques après leur mise sur le mar­ché, les fab­ri­cants dev­rai­ent défi­nir la péri­ode de sou­ti­en, qui dev­rait tenir comp­te de la durée d’uti­li­sa­ti­on pré­vue du pro­duit numé­ri­que. Lorsqu’il fixe une péri­ode de sou­ti­en, le fab­ri­cant doit notam­ment tenir comp­te des atten­tes légiti­mes des uti­li­sa­teurs, de la natu­re du pro­duit et de la légis­la­ti­on per­ti­nen­te de l’U­ni­on fix­ant la durée de vie des pro­duits numé­ri­ques. Les fab­ri­cants dev­rai­ent éga­le­ment pou­voir prend­re en con­sidé­ra­ti­on d’aut­res fac­teurs per­tin­ents. Les critères dev­rai­ent être appli­qués de maniè­re à assurer la pro­por­ti­on­na­li­té lors de la fix­a­ti­on des péri­odes de sou­ti­en. Sur deman­de, un fab­ri­cant dev­rait mett­re à la dis­po­si­ti­on des auto­ri­tés de sur­veil­lan­ce du mar­ché les infor­ma­ti­ons pri­ses en comp­te pour déter­mi­ner la péri­ode de sou­ti­en d’un pro­duit con­tenant des élé­ments numériques.
(60) La péri­ode d’as­si­stance pour laquel­le le fab­ri­cant garan­tit le trai­te­ment effi­cace des vul­né­ra­bi­li­tés doit être d’au moins cinq ans, sauf si la durée de vie du pro­duit con­tenant des élé­ments numé­ri­ques est infé­ri­eu­re à cinq ans, auquel cas le fab­ri­cant doit garan­tir le trai­te­ment des vul­né­ra­bi­li­tés pour la durée de vie cor­re­spond­an­te. Si l’on peut rai­sonnablem­ent s’at­tendre à ce que le pro­duit con­tenant des élé­ments numé­ri­ques soit uti­li­sé pen­dant plus de cinq ans, com­me c’est sou­vent le cas pour les com­po­sants maté­ri­els tels que les car­tes mères ou les micro­pro­ce­s­seurs, pour les équi­pe­ments de réseau tels que les rou­teurs, les modems ou les com­mu­ta­teurs, et pour les logi­ciels tels que les systè­mes d’ex­plo­ita­ti­on ou les outils d’é­di­ti­on vidéo, les fab­ri­cants dev­rai­ent assurer des péri­odes de sup­port plus longues en con­sé­quence. En par­ti­cu­lier, les pro­duits con­tenant des élé­ments numé­ri­ques desti­nés à être uti­li­sés dans des envi­ron­ne­ments indu­stri­els, tels que les systè­mes de con­trô­le indu­stri­els, sont sou­vent uti­li­sés pen­dant des péri­odes beau­coup plus longues. Un fab­ri­cant ne doit pou­voir fixer une péri­ode d’as­si­stance infé­ri­eu­re à cinq ans que si cela est justi­fié par la natu­re du pro­duit numé­ri­que con­cer­né et s’il est pré­vu que le pro­duit sera uti­li­sé moins de cinq ans, auquel cas la péri­ode d’as­si­stance doit cor­re­spond­re à la durée d’uti­li­sa­ti­on pré­vue. Par exemp­le, la durée de vie d’u­ne appli­ca­ti­on de sui­vi des cont­acts desti­née à être uti­li­sée pen­dant une pan­dé­mie pour­rait être limi­tée à la durée de la pan­dé­mie. En out­re, de par leur natu­re, cer­tai­nes appli­ca­ti­ons logi­ciel­les ne peu­vent être mises à dis­po­si­ti­on que sur la base d’un abon­ne­ment, notam­ment si l’ap­pli­ca­ti­on n’est plus dis­po­ni­ble pour l’uti­li­sa­teur à l’ex­pi­ra­ti­on de l’abon­ne­ment et n’est donc plus utilisée.
(61) Lorsque les pro­duits numé­ri­ques arri­vent au ter­me de la péri­ode d’as­si­stance, les fab­ri­cants dev­rai­ent envi­sa­ger de divul­guer le code source de ces pro­duits numé­ri­ques, soit à d’aut­res ent­re­pri­ses qui s’en­g­agent à pro­lon­ger la four­ni­tu­re de ser­vices de gesti­on des vul­né­ra­bi­li­tés, soit au public, afin que les vul­né­ra­bi­li­tés pui­s­sent con­tin­uer à être gérées après l’ex­pi­ra­ti­on de la péri­ode d’as­si­stance. Si les fab­ri­cants part­agent le code source avec d’aut­res ent­re­pri­ses, ils dev­rai­ent être en mesu­re de pro­té­ger le droit de pro­prié­té du pro­duit numé­ri­que et d’empêcher la divul­ga­ti­on du code source au public, par exemp­le par le biais d’ac­cords contractuels.
(62) Afin de garan­tir que les fab­ri­cants de tou­te l’U­ni­on défi­nis­sent des péri­odes d’as­si­stance com­pa­ra­bles pour des pro­duits numé­ri­ques com­pa­ra­bles, ADCO dev­rait publier des sta­ti­sti­ques sur les péri­odes d’as­si­stance moy­ennes défi­nies par les fab­ri­cants pour des caté­go­ries de pro­duits numé­ri­ques et émett­re des lignes direc­tri­ces indi­quant les péri­odes d’as­si­stance appro­priées pour ces caté­go­ries. En out­re, afin de garan­tir une appro­che har­mo­ni­sée dans l’en­sem­ble du mar­ché inté­ri­eur, la Com­mis­si­on dev­rait pou­voir adop­ter des actes délé­gués afin de fixer des péri­odes d’as­si­stance mini­ma­les pour cer­tai­nes caté­go­ries de pro­duits lorsque les don­nées four­nies par les auto­ri­tés de sur­veil­lan­ce du mar­ché indi­quent soit que les péri­odes d’as­si­stance fixées par les fab­ri­cants ne sont pas sys­té­ma­ti­quement con­for­mes aux critères de fix­a­ti­on des péri­odes d’as­si­stance défi­nis dans le pré­sent règle­ment, soit que les fab­ri­cants de dif­fér­ents États mem­bres fixent des péri­odes d’as­si­stance dif­fé­ren­tes de maniè­re injustifiée.
(63) Les fab­ri­cants dev­rai­ent mett­re en place un point de cont­act uni­que per­met­tant aux uti­li­sa­teurs de com­mu­ni­quer sans effort avec eux, par exemp­le pour signal­er les vul­né­ra­bi­li­tés du pro­duit con­tenant des élé­ments numé­ri­ques et pour obte­nir des infor­ma­ti­ons sur ces vul­né­ra­bi­li­tés. Ils doi­vent rend­re le point de cont­act uni­que faci­le­ment acce­s­si­ble aux uti­li­sa­teurs, four­nir des infor­ma­ti­ons clai­res sur la maniè­re de le joind­re et tenir ces infor­ma­ti­ons à jour. Si les fab­ri­cants choi­sis­sent de pro­po­ser des outils auto­ma­ti­sés tels que des boîtes de dis­cus­sion, ils dev­rai­ent éga­le­ment four­nir un numé­ro de télé­pho­ne ou d’aut­res moy­ens de cont­act numé­ri­ques tels qu’u­ne adres­se élec­tro­ni­que ou un for­mu­lai­re de cont­act. Le point de cont­act uni­que ne dev­rait pas repo­ser exclu­si­ve­ment sur des outils automatisés.
(64) Les fab­ri­cants dev­rai­ent mett­re à dis­po­si­ti­on sur le mar­ché leurs pro­duits con­tenant des élé­ments numé­ri­ques avec une con­fi­gu­ra­ti­on stan­dard sécu­ri­sée et mett­re gra­tui­te­ment à la dis­po­si­ti­on des uti­li­sa­teurs des mises à jour de sécu­ri­té. Les fab­ri­cants ne dev­rai­ent pou­voir déro­ger aux exi­gen­ces de base en matiè­re de cyber­sé­cu­ri­té que dans le cas de pro­duits sur mesu­re, con­çus pour un uti­li­sa­teur pro­fes­si­on­nel spé­ci­fi­que dans un but pré­cis et pour les­quels tant le fab­ri­cant que l’uti­li­sa­teur ont expres­sé­ment accep­té d’aut­res con­di­ti­ons contractuelles.
(65) Les vul­né­ra­bi­li­tés acti­ve­ment exploi­tées dans les pro­duits numé­ri­ques et les inci­dents de sécu­ri­té gra­ves affec­tant la sécu­ri­té de ces pro­duits dev­rai­ent être noti­fi­és simul­ta­né­ment par les fab­ri­cants à l’é­qui­pe d’in­ter­ven­ti­on en cas d’in­ci­dent de sécu­ri­té infor­ma­tique (CSIRT) dési­gnée com­me coor­don­na­teur et à l’E­NISA via la pla­te­for­me de noti­fi­ca­ti­on uni­que. Les noti­fi­ca­ti­ons dev­rai­ent être trans­mi­ses via le point final de noti­fi­ca­ti­on élec­tro­ni­que d’un CSIRT dési­gné com­me coor­di­na­teur et être simul­ta­né­ment acce­s­si­bles à l’ENISA.
(66) Les fab­ri­cants dev­rai­ent signal­er acti­ve­ment les vul­né­ra­bi­li­tés exploi­tées afin de veil­ler à ce que les CSIRT dési­gnés com­me coor­di­na­teurs et l’E­NISA aient une vue d’en­sem­ble adé­qua­te de ces vul­né­ra­bi­li­tés et reçoi­vent les infor­ma­ti­ons dont ils ont beso­in pour s’ac­quit­ter des tâches qui leur incom­bent en ver­tu de la direc­ti­ve (UE) 2022/2555 et pour rele­ver le niveau glo­bal de cyber­sé­cu­ri­té des instal­la­ti­ons essen­ti­el­les et importan­tes visées à l’ar­tic­le 3 de ladi­te direc­ti­ve, ain­si que pour assurer le fonc­tion­ne­ment effi­cace des auto­ri­tés de sur­veil­lan­ce du mar­ché. Étant don­né que la plu­part des pro­duits con­tenant des élé­ments numé­ri­ques sont com­mer­cia­li­sés dans l’en­sem­ble du mar­ché inté­ri­eur, tou­te vul­né­ra­bi­li­té exploi­tée dans un pro­duit con­tenant des élé­ments numé­ri­ques dev­rait être con­sidé­rée com­me une men­ace pour le fonc­tion­ne­ment du mar­ché inté­ri­eur. En accord avec le fab­ri­cant, l’E­NISA dev­rait publier les vul­né­ra­bi­li­tés cor­ri­gées dans la base de don­nées euro­pé­en­ne sur les vul­né­ra­bi­li­tés cré­ée con­for­mé­ment à l’ar­tic­le 12, para­gra­phe 2, de la direc­ti­ve (UE) 2022/2555 . La base de don­nées euro­pé­en­ne sur les vul­né­ra­bi­li­tés aide­ra les fab­ri­cants à iden­ti­fier les vul­né­ra­bi­li­tés explo­ita­bles con­nues dans leurs pro­duits afin de garan­tir la mise à dis­po­si­ti­on de pro­duits sûrs sur le marché.
(67) Les fab­ri­cants dev­rai­ent éga­le­ment noti­fier au CSIRT dési­gné com­me coor­di­na­teur et à l’E­NISA tout inci­dent de sécu­ri­té gra­ve ayant une inci­dence sur la sécu­ri­té d’un pro­duit numé­ri­que. Afin de per­mett­re aux uti­li­sa­teurs de réa­gir rapi­de­ment aux inci­dents de sécu­ri­té gra­ves qui affec­tent la sécu­ri­té de leurs pro­duits con­tenant des élé­ments numé­ri­ques, les fab­ri­cants dev­rai­ent éga­le­ment infor­mer leurs uti­li­sa­teurs de ces inci­dents de sécu­ri­té et, le cas échéant, des mesu­res cor­rec­ti­ves que les uti­li­sa­teurs peu­vent prend­re pour atté­nuer l’im­pact de l’in­ci­dent de sécu­ri­té, par exemp­le en publi­ant des infor­ma­ti­ons per­ti­nen­tes sur leurs sites web ou, si le fab­ri­cant peut cont­ac­ter les uti­li­sa­teurs et que les ris­ques de cyber­sé­cu­ri­té le justi­fi­ent, en cont­ac­tant direc­te­ment les utilisateurs.
(68) Les vul­né­ra­bi­li­tés acti­ve­ment exploi­tées sont les cas où un fab­ri­cant con­sta­te qu’u­ne vio­la­ti­on de la sécu­ri­té affec­tant ses uti­li­sa­teurs ou d’aut­res per­son­nes phy­si­ques ou mora­les est due à l’ex­plo­ita­ti­on, par un acteur mal­veil­lant, d’u­ne fail­le dans l’un des pro­duits con­tenant des élé­ments numé­ri­ques qu’il met sur le mar­ché. Ces vul­né­ra­bi­li­tés peu­vent être, par exemp­le, des fai­bles­ses dans les fonc­tions d’i­den­ti­fi­ca­ti­on et d’au­then­ti­fi­ca­ti­on d’un pro­duit. Les vul­né­ra­bi­li­tés décou­ver­tes sans inten­ti­on mal­veil­lan­te lors de tests, d’en­quêtes, de cor­rec­tions ou de divul­ga­ti­ons effec­tués de bon­ne foi et visa­nt à assurer la sécu­ri­té et la pro­tec­tion du pro­prié­tai­re du système et de ses uti­li­sa­teurs ne doi­vent pas fai­re l’ob­jet d’u­ne noti­fi­ca­ti­on. En revan­che, les inci­dents de sécu­ri­té majeurs affec­tant la sécu­ri­té du pro­duit con­tenant des élé­ments numé­ri­ques font réfé­rence aux situa­tions dans les­quel­les un inci­dent de cyber­sé­cu­ri­té affec­te les pro­ce­s­sus de con­cep­ti­on, de fab­ri­ca­ti­on ou de main­ten­an­ce du fab­ri­cant de tel­le sor­te qu’il pour­rait ent­raî­ner un ris­que accru de cyber­sé­cu­ri­té pour les uti­li­sa­teurs ou d’aut­res per­son­nes. Ces inci­dents de sécu­ri­té majeurs inclu­ent, par exemp­le, le cas où un atta­quant a réus­si à intro­dui­re un pro­gram­me mal­veil­lant dans le canal de par­ta­ge par lequel le fab­ri­cant dif­fu­se les mises à jour de sécu­ri­té aux utilisateurs.
(69) Afin que les noti­fi­ca­ti­ons pui­s­sent être trans­mi­ses rapi­de­ment à tous les CSIRT per­tin­ents dési­gnés com­me coor­di­na­teurs et que les fab­ri­cants aient la pos­si­bi­li­té de pro­cé­der à une noti­fi­ca­ti­on indi­vi­du­el­le à chaque étape de la pro­cé­du­re de noti­fi­ca­ti­on, l’E­NISA dev­rait mett­re en place une pla­te­for­me de noti­fi­ca­ti­on uni­que avec des points de ter­mi­nai­son nati­on­aux pour la noti­fi­ca­ti­on élec­tro­ni­que. Le fonc­tion­ne­ment con­tinu de la pla­te­for­me de noti­fi­ca­ti­on uni­que dev­rait être géré et main­te­nu par l’E­NISA. Les CSIRT dési­gnés com­me coor­di­na­teurs dev­rai­ent infor­mer leurs auto­ri­tés de sur­veil­lan­ce du mar­ché respec­ti­ves des vul­né­ra­bi­li­tés ou des inci­dents de sécu­ri­té signa­lés. La pla­te­for­me de noti­fi­ca­ti­on uni­que dev­rait être con­çue de maniè­re à pré­ser­ver la con­fi­den­tia­li­té des noti­fi­ca­ti­ons, en par­ti­cu­lier pour les vul­né­ra­bi­li­tés pour les­quel­les aucu­ne mise à jour de sécu­ri­té n’est enco­re dis­po­ni­ble. En out­re, l’E­NISA dev­rait éta­b­lir des pro­cé­du­res pour le trai­te­ment sûr et con­fi­den­tiel des infor­ma­ti­ons. Sur la base des infor­ma­ti­ons qu’el­le recu­eil­le, l’E­NISA dev­rait rédi­ger tous les deux ans un rap­port tech­ni­que sur les ten­dan­ces émer­gen­tes en matiè­re de ris­ques de cyber­sé­cu­ri­té liés aux pro­duits con­tenant des élé­ments numé­ri­ques et le sou­mett­re au grou­pe de coopé­ra­ti­on insti­tué par l’ar­tic­le 14 de la direc­ti­ve (UE) 2022/2555 .
(70) Dans des cir­con­stances excep­ti­on­nel­les, et notam­ment à la deman­de du fab­ri­cant, le CSIRT dési­gné com­me coor­di­na­teur qui reçoit la noti­fi­ca­ti­on en pre­mier lieu dev­rait pou­voir déci­der de dif­fé­rer la trans­mis­si­on aux aut­res CSIRT per­tin­ents dési­gnés com­me coor­di­na­teurs via la pla­te­for­me de noti­fi­ca­ti­on uni­que, si cela peut être justi­fié par des rai­sons de cyber­sé­cu­ri­té et pour une péri­ode stric­te­ment néces­saire. Le CSIRT dési­gné com­me coor­di­na­teur dev­rait infor­mer immé­dia­te­ment l’E­NISA de sa décis­i­on de report et des rai­sons qui la motiv­ent, ain­si que de la date à laquel­le il a l’in­ten­ti­on de pro­cé­der à une redif­fu­si­on. La Com­mis­si­on dev­rait éla­bo­rer, au moy­en d’un acte délé­gué, des détails tech­ni­ques sur les con­di­ti­ons dans les­quel­les des motifs de cyber­sé­cu­ri­té pour­rai­ent être invo­qués et coopé­rer avec le réseau de CSIRTS éta­b­li con­for­mé­ment à l’ar­tic­le 15 de la direc­ti­ve (UE) 2022/2555 et l’E­NISA lors de l’é­la­bo­ra­ti­on du pro­jet d’ac­te délé­gué. Les rai­sons de cyber­sé­cu­ri­té peu­vent être, par exemp­le, un pro­ce­s­sus en cours de divul­ga­ti­on coor­don­née des vul­né­ra­bi­li­tés ou des situa­tions dans les­quel­les on s’at­tend à ce qu’un fab­ri­cant pren­ne pro­chai­ne­ment une mesu­re d’at­té­nua­ti­on et où les ris­ques de cyber­sé­cu­ri­té liés à une trans­mis­si­on direc­te via la pla­te­for­me de noti­fi­ca­ti­on uni­que l’em­portent sur les avan­ta­ges de cet­te trans­mis­si­on. la deman­de du CSIRT dési­gné com­me coor­di­na­teur, l’E­NISA dev­rait être en mesu­re d’ai­der le CSIRT à invo­quer des motifs de cyber­sé­cu­ri­té liés au report de la trans­mis­si­on de la noti­fi­ca­ti­on, sur la base des infor­ma­ti­ons reçues par l’E­NISA de ce CSIRT con­cer­nant la décis­i­on de repor­ter une noti­fi­ca­ti­on pour ces motifs liés à la cyber­sé­cu­ri­té. En out­re, dans des cir­con­stances par­ti­cu­liè­re­ment excep­ti­on­nel­les, l’E­NISA ne dev­rait pas rece­voir simul­ta­né­ment tous les détails d’u­ne noti­fi­ca­ti­on con­cer­nant une vul­né­ra­bi­li­té acti­ve­ment exploi­tée. Ce serait le cas si le fab­ri­cant indi­quait dans sa noti­fi­ca­ti­on que la vul­né­ra­bi­li­té signa­lée a été acti­ve­ment exploi­tée par un acteur mal­veil­lant et que, selon les infor­ma­ti­ons dis­po­ni­bles, elle n’a pas été exploi­tée dans un État membre aut­re que celui du CSIRT dési­gné com­me coor­di­na­teur auquel le fab­ri­cant a noti­fié la vul­né­ra­bi­li­té, si la dif­fu­si­on immé­dia­te de la noti­fi­ca­ti­on de la vul­né­ra­bi­li­té est sus­cep­ti­ble d’en­traî­ner une fuite d’in­for­ma­ti­ons dont la divul­ga­ti­on serait con­trai­re aux inté­rêts essen­tiels de cet État membre ou si la vul­né­ra­bi­li­té noti­fi­ée pré­s­en­ter­ait, du fait de sa dif­fu­si­on, un ris­que immi­nent éle­vé pour la cyber­sé­cu­ri­té. Dans de tels cas, l’E­NISA n’au­ra accès qu’à l’in­for­ma­ti­on selon laquel­le le fab­ri­cant a effec­tué une noti­fi­ca­ti­on, à des infor­ma­ti­ons géné­ra­les sur le pro­duit numé­ri­que en que­sti­on, à l’in­for­ma­ti­on sur le type géné­ral d’ex­plo­ita­ti­on et à l’in­for­ma­ti­on selon laquel­le ces rai­sons de sécu­ri­té ont été invo­quées par le fab­ri­cant et que le con­te­nu com­plet de la noti­fi­ca­ti­on est donc rete­nu. La noti­fi­ca­ti­on com­plè­te doit être mise à la dis­po­si­ti­on de l’E­NISA et des aut­res CSIRT per­tin­ents dési­gnés com­me coor­di­na­teurs lorsque le CSIRT dési­gné com­me coor­di­na­teur qui reçoit initia­le­ment la noti­fi­ca­ti­on con­sta­te que ces motifs de sécu­ri­té, qui reflè­tent des cir­con­stances par­ti­cu­liè­re­ment excep­ti­on­nel­les au sens du pré­sent règle­ment, n’e­xi­stent plus. Si l’E­NISA esti­me, sur la base des infor­ma­ti­ons dis­po­ni­bles, qu’il exi­ste un ris­que sys­té­mi­que pour la sécu­ri­té du mar­ché inté­ri­eur, elle dev­rait recom­man­der au CSIRT qui a reçu la noti­fi­ca­ti­on de trans­mett­re la noti­fi­ca­ti­on com­plè­te aux aut­res CSIRT dési­gnés com­me coor­don­na­teurs et à l’E­NISA elle-même.
(71) Lorsque les fab­ri­cants signalent une vul­né­ra­bi­li­té acti­ve­ment exploi­tée ou un inci­dent de sécu­ri­té gra­ve qui a une inci­dence sur la sécu­ri­té du pro­duit numé­ri­que, ils doi­vent indi­quer le degré de sen­si­bi­li­té qu’ils accor­dent aux infor­ma­ti­ons signa­lées. Le CSIRT dési­gné com­me coor­di­na­teur qui reçoit initia­le­ment la noti­fi­ca­ti­on dev­rait tenir comp­te de ces infor­ma­ti­ons lorsqu’il exami­ne si la noti­fi­ca­ti­on sug­gè­re des cir­con­stances excep­ti­on­nel­les justi­fi­ant le report de la trans­mis­si­on de la noti­fi­ca­ti­on aux aut­res CSIRT per­tin­ents dési­gnés com­me coor­di­na­teurs pour des rai­sons légiti­mes de cyber­sé­cu­ri­té. En out­re, il dev­rait tenir comp­te de ces infor­ma­ti­ons lorsqu’il éva­lue si la noti­fi­ca­ti­on d’u­ne vul­né­ra­bi­li­té acti­ve­ment exploi­tée sug­gè­re des cir­con­stances par­ti­cu­liè­re­ment excep­ti­on­nel­les qui justi­fi­ent que la noti­fi­ca­ti­on com­plè­te ne soit pas mise à la dis­po­si­ti­on de l’E­NISA simul­ta­né­ment. En out­re, les CSIRT dési­gnés com­me coor­di­na­teurs dev­rai­ent être en mesu­re de tenir comp­te de ces infor­ma­ti­ons lorsqu’ils défi­nis­sent les mesu­res appro­priées pour atté­nuer les ris­ques décou­lant des vul­né­ra­bi­li­tés et des inci­dents de sécu­ri­té correspondants.
(72) Afin de sim­pli­fier la noti­fi­ca­ti­on des infor­ma­ti­ons requi­ses par le pré­sent règle­ment et de rédui­re la char­ge admi­ni­stra­ti­ve pesant sur les insti­tu­ti­ons, comp­te tenu des aut­res obli­ga­ti­ons de noti­fi­ca­ti­on com­plé­men­tai­res pré­vues par le droit de l’U­ni­on, tel­les que le règle­ment (UE) 2016/679, le règle­ment (UE) 2022/2554 du Par­le­ment euro­pé­en et du Con­seil (25), la direc­ti­ve 2002/58/CE du Par­le­ment euro­pé­en et du Con­seil (26) et la direc­ti­ve (UE) 2022/2555, les États mem­bres sont encou­ra­gés à envi­sa­ger la mise en place de points de cont­act cen­traux au niveau natio­nal pour ces obli­ga­ti­ons de noti­fi­ca­ti­on. Le recours à de tels guiche­ts uni­ques nati­on­aux pour la noti­fi­ca­ti­on des inci­dents de sécu­ri­té con­for­mé­ment au règle­ment (UE) 2016/679 et à la direc­ti­ve 2002/58/CE dev­rait être sans pré­ju­di­ce de l’ap­pli­ca­ti­on des dis­po­si­ti­ons du règle­ment (UE) 2016/679 et de la direc­ti­ve 2002/58/CE, notam­ment cel­les rela­ti­ves à l’in­dé­pen­dance des auto­ri­tés qui y sont men­ti­onnées. Lors de la mise en place de la pla­te­for­me de noti­fi­ca­ti­on uni­que visée dans le pré­sent règle­ment, l’E­NISA dev­rait tenir comp­te de la pos­si­bi­li­té d’in­té­grer les points de ter­mi­nai­son nati­on­aux pour la noti­fi­ca­ti­on élec­tro­ni­que visés dans le pré­sent règle­ment dans des guiche­ts uni­ques nati­on­aux, qui peu­vent éga­le­ment inclu­re d’aut­res noti­fi­ca­ti­ons requi­ses par le droit de l’Union.
(73) Afin de tirer par­ti de l’expé­ri­ence acqui­se par le pas­sé, l’E­NISA dev­rait, lors de la mise en place de la pla­te­for­me de noti­fi­ca­ti­on uni­que visée dans le pré­sent règle­ment, con­sul­ter d’aut­res insti­tu­ti­ons ou agen­ces de l’U­ni­on qui gèrent des pla­te­for­mes ou des bases de don­nées sou­mi­ses à des exi­gen­ces de sécu­ri­té stric­tes, tel­les que l’A­gence de l’U­ni­on euro­pé­en­ne pour la gesti­on opé­ra­ti­on­nel­le des systè­mes d’in­for­ma­ti­on à gran­de échel­le dans l’e­space de liber­té, de sécu­ri­té et de justi­ce (eu-LISA). En out­re, l’E­NISA dev­rait exami­ner les com­plé­men­ta­ri­tés pos­si­bles avec la base de don­nées euro­pé­en­ne sur les vul­né­ra­bi­li­tés cré­ée con­for­mé­ment à l’ar­tic­le 12, para­gra­phe 2, de la direc­ti­ve (UE) 2022/2555 .
(74) Les fab­ri­cants et aut­res per­son­nes phy­si­ques ou mora­les doi­vent être en mesu­re de signal­er volon­tai­re­ment à un CSIRT dési­gné com­me coor­di­na­teur ou à l’E­NISA tou­te vul­né­ra­bi­li­té con­te­nue dans un pro­duit numé­ri­que, tou­te cyber­men­ace sus­cep­ti­ble d’a­voir un impact sur le pro­fil de ris­que d’un pro­duit numé­ri­que, tout inci­dent de sécu­ri­té ayant un impact sur la sécu­ri­té du pro­duit numé­ri­que, ain­si que les inci­dents évi­tés de just­es­se qui aurai­ent pu con­dui­re à un tel inci­dent de sécurité.
(75) Les États mem­bres dev­rai­ent, dans la mesu­re du pos­si­ble et con­for­mé­ment à la légis­la­ti­on natio­na­le, rele­ver les défis aux­quels sont con­fron­tés les cher­cheurs qui s’in­té­res­sent aux vul­né­ra­bi­li­tés, y com­pris leur responsa­bi­li­té péna­le poten­ti­el­le. Étant don­né que les per­son­nes phy­si­ques et mora­les qui effec­tu­ent des recher­ches sur les vul­né­ra­bi­li­tés pour­rai­ent être sou­mi­ses à la responsa­bi­li­té péna­le et civi­le dans cer­ta­ins États mem­bres, ces der­niers sont invi­tés à adop­ter des lignes direc­tri­ces sur l’ab­sence de pour­suites à l’en­cont­re des cher­cheurs dans le domaine de la sécu­ri­té de l’in­for­ma­ti­on et à adop­ter une déro­ga­ti­on à la responsa­bi­li­té civi­le pour leurs activités.
(76) Les fab­ri­cants de pro­duits con­tenant des élé­ments numé­ri­ques dev­rai­ent mett­re en place des poli­ti­ques de divul­ga­ti­on coor­don­née des vul­né­ra­bi­li­tés afin de faci­li­ter la noti­fi­ca­ti­on des vul­né­ra­bi­li­tés par des per­son­nes phy­si­ques ou mora­les, soit direc­te­ment au fab­ri­cant, soit indi­rec­te­ment et, si elles le sou­hai­tent, de maniè­re anony­me, par l’in­ter­mé­di­ai­re des CSIRT dési­gnés com­me coor­di­na­teurs aux fins de la divul­ga­ti­on coor­don­née des vul­né­ra­bi­li­tés, con­for­mé­ment à l’ar­tic­le 12, para­gra­phe 1, de la direc­ti­ve (UE) 2022/2555 . L’appro­che des fab­ri­cants en matiè­re de divul­ga­ti­on coor­don­née des vul­né­ra­bi­li­tés dev­rait pré­voir un pro­ce­s­sus struc­tu­ré dans le cad­re duquel les vul­né­ra­bi­li­tés sont signa­lées au fab­ri­cant d’u­ne maniè­re qui per­met­te à ce der­nier de dia­gno­sti­quer ces vul­né­ra­bi­li­tés et d’y remé­dier avant de com­mu­ni­quer des infor­ma­ti­ons détail­lées sur la vul­né­ra­bi­li­té à des tiers ou au public. En out­re, les fab­ri­cants dev­rai­ent éga­le­ment envi­sa­ger de publier leurs poli­ti­ques de sécu­ri­té dans un for­mat lisi­ble par machi­ne. Étant don­né que les infor­ma­ti­ons sur les vul­né­ra­bi­li­tés explo­ita­bles dans des pro­duits numé­ri­ques lar­ge­ment répan­dus peu­vent att­eind­re des prix éle­vés sur le mar­ché noir, les fab­ri­cants de ces pro­duits dev­rai­ent être en mesu­re de mett­re en œuvre, dans le cad­re de leurs poli­ti­ques de divul­ga­ti­on coor­don­née des vul­né­ra­bi­li­tés, des pro­gram­mes visa­nt à encou­ra­ger la noti­fi­ca­ti­on des vul­né­ra­bi­li­tés en faisant en sor­te que les per­son­nes phy­si­ques ou mora­les soi­ent recon­nues et récom­pen­sées pour leurs efforts. Il s’a­git de pro­gram­mes dits de “bug bounty”.
(77) Pour faci­li­ter l’ana­ly­se des vul­né­ra­bi­li­tés, les fab­ri­cants dev­rai­ent iden­ti­fier et docu­men­ter les com­po­sants des pro­duits con­tenant des élé­ments numé­ri­ques et, le cas échéant, éta­b­lir une nomen­cla­tu­re logi­ciel­le. Une nomen­cla­tu­re logi­ciel­le peut four­nir aux per­son­nes qui fab­ri­quent, achè­tent et exploi­tent des logi­ciels des infor­ma­ti­ons qui les aident à mieux com­prend­re la chaî­ne d’ap­pro­vi­si­on­ne­ment, ce qui pré­sen­te de nombreux avan­ta­ges, notam­ment en per­met­tant aux fab­ri­cants et aux uti­li­sa­teurs de sui­v­re les vul­né­ra­bi­li­tés et les ris­ques de cyber­sé­cu­ri­té con­nus et émer­gen­ts. Il est par­ti­cu­liè­re­ment important que les fab­ri­cants veil­lent à ce que leurs pro­duits con­tenant des élé­ments numé­ri­ques ne con­ti­en­nent pas de com­po­sants vul­né­ra­bles con­çus par des tiers. Les fab­ri­cants ne dev­rai­ent pas être tenus de publier la nomen­cla­tu­re des logiciels.
(78) Dans le cad­re des nou­veaux modè­les com­mer­ci­aux com­ple­xes liés aux ven­tes en ligne, une ent­re­pri­se acti­ve en ligne peut four­nir une gran­de varié­té de ser­vices. En fonc­tion du type de ser­vices four­nis pour un pro­duit numé­ri­que don­né, une même ent­re­pri­se peut appar­te­nir à dif­fé­ren­tes caté­go­ries de modè­les com­mer­ci­aux ou d’ac­teurs éco­no­mi­ques. Si une ent­re­pri­se four­nit uni­quement des ser­vices d’in­ter­mé­dia­ti­on en ligne pour un pro­duit numé­ri­que don­né et qu’el­le est uni­quement un four­nis­seur d’u­ne place de mar­ché en ligne au sens de l’ar­tic­le 3, point 14, du règle­ment (UE) 2023/988 , elle n’ent­re dans aucu­ne des caté­go­ries d’opé­ra­teurs éco­no­mi­ques au sens du pré­sent règle­ment. Si une ent­re­pri­se est un four­nis­seur d’u­ne place de mar­ché en ligne qui agit éga­le­ment en tant qu’opé­ra­teur éco­no­mi­que au sens du pré­sent règle­ment lorsqu’el­le vend cer­ta­ins pro­duits con­tenant des élé­ments numé­ri­ques, elle doit être sou­mi­se aux obli­ga­ti­ons pré­vues par le pré­sent règle­ment pour ce type d’opé­ra­teur éco­no­mi­que. Par exemp­le, si le four­nis­seur d’u­ne place de mar­ché en ligne dis­tri­bue éga­le­ment un pro­duit con­tenant des élé­ments numé­ri­ques, il sera con­sidé­ré com­me un com­mer­çant en ce qui con­cer­ne la ven­te de ce pro­duit. De même, si l’entre­pri­se con­cer­née vend ses pro­pres pro­duits de mar­que con­tenant des élé­ments numé­ri­ques, elle serait con­sidé­rée com­me un fab­ri­cant et dev­rait donc se con­for­mer aux exi­gen­ces appli­ca­bles aux fab­ri­cants. En out­re, cer­tai­nes ent­re­pri­ses peu­vent être con­sidé­rées com­me des pre­sta­tai­res de ser­vices de ful­film­ent au sens de l’ar­tic­le 3, point 11, du règle­ment (UE) 2019/1020 du Par­le­ment euro­pé­en et du Con­seil (27) si elles four­nis­sent les ser­vices en que­sti­on. Les cas con­cer­nés dev­rai­ent être éva­lués au cas par cas. Étant don­né le rôle prépon­dé­rant des places de mar­ché en ligne dans la faci­li­ta­ti­on du com­mer­ce élec­tro­ni­que, cel­les-ci dev­rai­ent s’ef­forcer de coopé­rer avec les auto­ri­tés de sur­veil­lan­ce du mar­ché des États mem­bres afin de con­tri­buer à garan­tir que les pro­duits con­tenant des élé­ments numé­ri­ques ache­tés sur les places de mar­ché en ligne respec­tent les exi­gen­ces de cyber­sé­cu­ri­té éta­b­lies par le pré­sent règlement.
(79) Afin de faci­li­ter l’éva­lua­ti­on de la con­for­mi­té aux exi­gen­ces défi­nies dans le pré­sent règle­ment, il con­vi­ent d’ac­cor­der une pré­somp­ti­on de con­for­mi­té aux pro­duits inté­grant des élé­ments numé­ri­ques qui sont con­for­mes à des nor­mes har­mo­ni­sées tra­dui­sant les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té défi­nies dans le pré­sent règle­ment en spé­ci­fi­ca­ti­ons tech­ni­ques détail­lées, adop­tées con­for­mé­ment au règle­ment (UE) no 1025/2012 du Par­le­ment euro­pé­en et du Con­seil (28). Ledit règle­ment pré­voit une pro­cé­du­re d’ob­jec­tion à l’en­cont­re des nor­mes har­mo­ni­sées dans le cas où ces nor­mes ne satis­font pas plei­ne­ment aux exi­gen­ces fixées par le pré­sent règle­ment. Le pro­ce­s­sus de nor­ma­li­sa­ti­on dev­rait garan­tir une repré­sen­ta­ti­on équi­li­brée des par­ties pren­an­tes et une par­ti­ci­pa­ti­on effec­ti­ve des acteurs de la socié­té civi­le, y com­pris des orga­ni­sa­ti­ons de con­som­ma­teurs. Les nor­mes inter­na­tio­na­les con­for­mes au niveau de pro­tec­tion de la cyber­sé­cu­ri­té visé par les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té éta­b­lies par le pré­sent règle­ment dev­rai­ent éga­le­ment être pri­ses en comp­te afin de sou­te­nir l’é­la­bo­ra­ti­on de nor­mes har­mo­ni­sées et la mise en œuvre du pré­sent règle­ment et de faci­li­ter la mise en con­for­mi­té des ent­re­pri­ses, notam­ment des microentre­pri­ses, des peti­tes et moy­ennes ent­re­pri­ses et des ent­re­pri­ses d’en­ver­gu­re mondiale.
(80) L’é­la­bo­ra­ti­on en temps uti­le de nor­mes har­mo­ni­sées pen­dant la péri­ode de tran­si­ti­on pour l’ap­pli­ca­ti­on du pré­sent règle­ment et leur dis­po­ni­bi­li­té avant la date d’ap­pli­ca­ti­on du pré­sent règle­ment seront par­ti­cu­liè­re­ment importan­tes pour sa mise en œuvre effec­ti­ve. C’est notam­ment le cas pour les pro­duits essen­tiels con­tenant des élé­ments numé­ri­ques de clas­se I. La dis­po­ni­bi­li­té de nor­mes har­mo­ni­sées per­mettra aux fab­ri­cants des pro­duits con­cer­nés d’ef­fec­tuer les éva­lua­tions de con­for­mi­té par le biais de la pro­cé­du­re de con­trô­le inter­ne et peut donc con­tri­buer à évi­ter les gou­lets d’étran­gle­ment et les retards dans les acti­vi­tés des orga­nis­mes d’éva­lua­ti­on de la conformité.
(81) Le règle­ment (UE) 2019/881 éta­blit un cad­re euro­pé­en volon­tai­re pour la cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té des pro­duits, pro­ce­s­sus et ser­vices TIC. Les sché­mas euro­pé­ens de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té four­nis­sent un cad­re com­mun pour la con­fi­ance des uti­li­sa­teurs dans l’uti­li­sa­ti­on des pro­duits con­tenant des élé­ments numé­ri­ques qui relè­vent du champ d’ap­pli­ca­ti­on du pré­sent règle­ment. En con­sé­quence, le pré­sent règle­ment dev­rait cré­er des syn­er­gies avec le règle­ment (UE) 2019/881. Afin de faci­li­ter l’éva­lua­ti­on de la con­for­mi­té aux exi­gen­ces éta­b­lies par le pré­sent règle­ment, les pro­duits con­tenant des élé­ments numé­ri­ques qui ont été cer­ti­fi­és con­for­mé­ment au règle­ment (UE) 2019/881 dans le cad­re d’un sché­ma euro­pé­en de cyber­sé­cu­ri­té éta­b­li par la Com­mis­si­on dans un acte d’exé­cu­ti­on, ou pour les­quels une décla­ra­ti­on de con­for­mi­té a été déli­v­rée dans le cad­re d’un tel sché­ma, sont pré­su­més con­for­mes aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té éta­b­lies par le pré­sent règle­ment, pour autant que le cer­ti­fi­cat euro­pé­en de cyber­sé­cu­ri­té ou la décla­ra­ti­on de con­for­mi­té, ou des par­ties de ces cer­ti­fi­cats, cou­vrent ces exi­gen­ces. La néces­si­té de nou­veaux sché­mas euro­pé­ens de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té pour les pro­duits con­tenant des élé­ments numé­ri­ques doit être exami­née à la lumiè­re du pré­sent règle­ment, y com­pris lors de l’é­la­bo­ra­ti­on du pro­gram­me de tra­vail glis­sant de l’U­ni­on pré­vu par le règle­ment (UE) 2019/881. Si un nou­veau sché­ma pour les pro­duits con­tenant des élé­ments numé­ri­ques est néces­saire, par exemp­le pour faci­li­ter le respect du pré­sent règle­ment, la Com­mis­si­on peut deman­der à l’E­NISA, con­for­mé­ment à l’ar­tic­le 48 du règle­ment (UE) 2019/881, d’é­la­bo­rer des sché­mas pos­si­bles. Ces futurs sché­mas euro­pé­ens de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té des pro­duits con­tenant des élé­ments numé­ri­ques dev­rai­ent tenir comp­te des exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té et des pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té éta­b­lies par le pré­sent règle­ment et faci­li­ter le respect de celui-ci. Les sché­mas euro­pé­ens de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té qui ent­rent en vigueur avant l’en­trée en vigueur du pré­sent règle­ment peu­vent néces­si­ter des spé­ci­fi­ca­ti­ons sup­p­lé­men­tai­res con­cer­nant des aspects détail­lés rela­tifs à l’ap­pli­ca­ti­on d’u­ne pré­somp­ti­on de con­for­mi­té. Il con­vi­ent de con­fé­rer à la Com­mis­si­on le pou­voir de pré­cis­er, au moy­en d’ac­tes délé­gués, les con­di­ti­ons dans les­quel­les les sché­mas euro­pé­ens de cer­ti­fi­ca­ti­on en cyber­sé­cu­ri­té peu­vent être uti­li­sés pour démon­trer la con­for­mi­té aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té éta­b­lies par le pré­sent règle­ment. En out­re, afin d’é­vi­ter une char­ge admi­ni­stra­ti­ve exce­s­si­ve, les fab­ri­cants ne dev­rai­ent pas être tenus de fai­re pro­cé­der à une éva­lua­ti­on de la con­for­mi­té par un tiers pour les exi­gen­ces con­cer­nées, com­me le pré­voit le pré­sent règle­ment, lorsqu’un cer­ti­fi­cat euro­pé­en de cyber­sé­cu­ri­té de niveau “inter­mé­di­ai­re” au moins a été déli­v­ré dans le cad­re de tels sché­mas euro­pé­ens de cer­ti­fi­ca­ti­on en matiè­re de cybersécurité.
(82) Lors de l’en­trée en vigueur du règle­ment d’exé­cu­ti­on (UE) 2024/482, qui con­cer­ne les pro­duits rele­vant du champ d’ap­pli­ca­ti­on du pré­sent règle­ment, tels que les modu­les de sécu­ri­té maté­ri­els et les micro­pro­ce­s­seurs, la Com­mis­si­on dev­rait pou­voir déter­mi­ner, au moy­en d’un acte délé­gué, la maniè­re dont le CCNU peut con­fé­rer une pré­somp­ti­on de con­for­mi­té aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té ou à cer­tai­nes par­ties de cel­les-ci, tel­les que défi­nies dans le pré­sent règle­ment. En out­re, un tel acte délé­gué peut pré­cis­er com­ment un cer­ti­fi­cat déli­v­ré dans le cad­re de l’EUCC peut sup­p­ri­mer l’ob­li­ga­ti­on fai­te aux fab­ri­cants par le pré­sent règle­ment de fai­re pro­cé­der à une éva­lua­ti­on par un tiers pour les exi­gen­ces concernées.
(83) Le cad­re euro­pé­en de nor­ma­li­sa­ti­on exi­stant, fon­dé sur les prin­cipes de la nou­vel­le appro­che défi­nis dans la réso­lu­ti­on du Con­seil du 7 mai 1985 con­cer­nant une nou­vel­le appro­che en matiè­re d’har­mo­ni­sa­ti­on tech­ni­que et de nor­ma­li­sa­ti­on et dans le règle­ment (UE) no 1025/2012, con­sti­tue le cad­re stan­dard pour l’é­la­bo­ra­ti­on de nor­mes con­fé­rant une pré­somp­ti­on de con­for­mi­té aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té per­ti­nen­tes défi­nies dans le pré­sent règle­ment. Les nor­mes euro­pé­en­nes dev­rai­ent être axées sur le mar­ché, tenir comp­te de l’in­té­rêt public ain­si que des objec­tifs poli­ti­ques clai­re­ment énon­cés dans le man­dat don­né par la Com­mis­si­on à un ou plu­sieurs orga­nis­mes euro­pé­ens de nor­ma­li­sa­ti­on pour éla­bo­rer des nor­mes har­mo­ni­sées dans un délai don­né, et être fon­dées sur un con­sen­sus. Tou­te­fois, en l’ab­sence de réfé­ren­ces per­ti­nen­tes à des nor­mes har­mo­ni­sées, la Com­mis­si­on dev­rait pou­voir adop­ter, dans des cas excep­ti­on­nels, à tit­re de solu­ti­on de rech­an­ge et en respec­tant dûment le rôle et les tâches des orga­nis­mes euro­pé­ens de nor­ma­li­sa­ti­on, des actes d’exé­cu­ti­on éta­blis­sant des spé­ci­fi­ca­ti­ons com­mu­nes pour les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té défi­nies dans le pré­sent règle­ment, afin de faci­li­ter le respect par le fab­ri­cant de son obli­ga­ti­on de se con­for­mer à ces exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té en cas de blo­ca­ge de la pro­cé­du­re de nor­ma­li­sa­ti­on ou de retard dans l’é­la­bo­ra­ti­on de nor­mes har­mo­ni­sées appro­priées. Si un tel retard est dû à la com­ple­xi­té tech­ni­que de la nor­me con­cer­née, la Com­mis­si­on dev­rait en tenir comp­te avant d’en­vi­sa­ger l’é­ta­blis­se­ment de spé­ci­fi­ca­ti­ons communes.
(84) Afin d’êt­re aus­si effi­cace que pos­si­ble dans la défi­ni­ti­on de spé­ci­fi­ca­ti­ons com­mu­nes couvrant les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té visées par le pré­sent règle­ment, la Com­mis­si­on dev­rait asso­cier les par­ties pren­an­tes con­cer­nées au processus.
(85) Par délai rai­sonnable, on entend, en ce qui con­cer­ne la publi­ca­ti­on de la réfé­rence des nor­mes har­mo­ni­sées au Jour­nal offi­ci­el de l’U­ni­on euro­pé­en­ne con­for­mé­ment au règle­ment (UE) no 1025/2012, une péri­ode au cours de laquel­le la réfé­rence de la nor­me, son rec­ti­fi­ca­tif ou sa modi­fi­ca­ti­on sont sus­cep­ti­bles d’êt­re publiés au Jour­nal offi­ci­el de l’U­ni­on euro­pé­en­ne et qui ne dev­rait pas dépas­ser un an après la date limi­te d’é­la­bo­ra­ti­on du pro­jet de nor­me euro­pé­en­ne con­for­mé­ment au règle­ment (UE) no 1025/2012.
(86) Afin de faci­li­ter l’éva­lua­ti­on de la con­for­mi­té aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té défi­nies dans le pré­sent règle­ment, il con­vi­ent de con­fé­rer une pré­somp­ti­on de con­for­mi­té aux pro­duits con­tenant des élé­ments numé­ri­ques qui sont con­for­mes aux spé­ci­fi­ca­ti­ons com­mu­nes adop­tées par la Com­mis­si­on en ver­tu du pré­sent règle­ment afin de for­mu­ler des spé­ci­fi­ca­ti­ons tech­ni­ques détail­lées pour ces exigences.
(87) Le recours à des nor­mes har­mo­ni­sées, à des spé­ci­fi­ca­ti­ons com­mu­nes ou à des sché­mas euro­pé­ens de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té adop­tés con­for­mé­ment au règle­ment (UE) 2019/881, qui con­fè­rent une pré­somp­ti­on de con­for­mi­té aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té appli­ca­bles aux pro­duits con­tenant des élé­ments numé­ri­ques, faci­li­te­ra l’éva­lua­ti­on de la con­for­mi­té par les fab­ri­cants. Si le fab­ri­cant déci­de de ne pas uti­li­ser ces moy­ens pour cer­tai­nes exi­gen­ces, il dev­ra indi­quer dans sa docu­men­ta­ti­on tech­ni­que com­ment la con­for­mi­té est obte­nue par d’aut­res moy­ens. En out­re, l’uti­li­sa­ti­on de nor­mes har­mo­ni­sées, de spé­ci­fi­ca­ti­ons com­mu­nes ou de sché­mas euro­pé­ens de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té adop­tés con­for­mé­ment au règle­ment (UE) 2019/881, en éta­blis­sant une pré­somp­ti­on de con­for­mi­té pour les fab­ri­cants, faci­li­terait la véri­fi­ca­ti­on de la con­for­mi­té des pro­duits con­tenant des élé­ments numé­ri­ques par les auto­ri­tés de sur­veil­lan­ce du mar­ché. Par con­sé­quent, les fab­ri­cants de pro­duits con­tenant des élé­ments numé­ri­ques sont encou­ra­gés à uti­li­ser ces nor­mes har­mo­ni­sées, spé­ci­fi­ca­ti­ons com­mu­nes ou sché­mas euro­pé­ens pour la cer­ti­fi­ca­ti­on en matiè­re de cybersécurité.
(88) Les fab­ri­cants doi­vent éta­b­lir une décla­ra­ti­on de con­for­mi­té UE qui con­ti­ent les infor­ma­ti­ons requi­ses par le pré­sent règle­ment con­cer­nant la con­for­mi­té des pro­duits inté­grant des élé­ments numé­ri­ques aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té défi­nies dans le pré­sent règle­ment et, le cas échéant, aux aut­res dis­po­si­ti­ons per­ti­nen­tes de la légis­la­ti­on d’har­mo­ni­sa­ti­on de l’U­ni­on aux­quel­les le pro­duit inté­grant des élé­ments numé­ri­ques est sou­mis. Les fab­ri­cants peu­vent éga­le­ment être tenus de déli­v­rer une décla­ra­ti­on de con­for­mi­té UE en ver­tu d’aut­res actes légis­la­tifs de l’U­ni­on. Afin de garan­tir un accès effi­cace aux infor­ma­ti­ons aux fins de la sur­veil­lan­ce du mar­ché, il con­vi­ent de déli­v­rer une décla­ra­ti­on UE de con­for­mi­té uni­que con­cer­nant le respect de tous les actes légis­la­tifs de l’U­ni­on appli­ca­bles. Afin de rédui­re la char­ge admi­ni­stra­ti­ve pesant sur les opé­ra­teurs éco­no­mi­ques, il dev­rait être per­mis que cet­te décla­ra­ti­on UE de con­for­mi­té uni­que soit con­sti­tuée d’un dos­sier com­po­sé des décla­ra­ti­ons de con­for­mi­té indi­vi­du­el­les pertinentes.
(89) Le mar­quage CE exprime la con­for­mi­té d’un pro­duit et est le résul­tat visi­ble de tout un pro­ce­s­sus qui com­prend l’éva­lua­ti­on de la con­for­mi­té au sens lar­ge. Les prin­cipes géné­raux du mar­quage CE sont défi­nis dans le règle­ment (CE) no 765/2008 du Par­le­ment euro­pé­en et du Con­seil (29). Les règles rela­ti­ves à l’ap­po­si­ti­on du mar­quage “CE” sur les pro­duits con­tenant des élé­ments numé­ri­ques dev­rai­ent être défi­nies dans le pré­sent règle­ment. Le mar­quage CE doit être le seul mar­quage garan­tis­sant la con­for­mi­té des pro­duits con­tenant des élé­ments numé­ri­ques avec les exi­gen­ces énon­cées dans le pré­sent règlement.
(90) Pour per­mett­re aux opé­ra­teurs éco­no­mi­ques de démon­trer la con­for­mi­té aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té défi­nies dans le pré­sent règle­ment et aux auto­ri­tés de sur­veil­lan­ce du mar­ché de s’assurer que les pro­duits con­tenant des élé­ments numé­ri­ques mis à dis­po­si­ti­on sur le mar­ché respec­tent ces exi­gen­ces, il con­vi­ent de pré­voir des pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té. La décis­i­on no 768/2008/CE du Par­le­ment euro­pé­en et du Con­seil (30 ) éta­blit des modu­les pour les pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té qui sont pro­por­ti­on­nels au niveau de ris­que et au niveau de sécu­ri­té requis. Afin d’assurer la cohé­rence inter­sec­to­ri­el­le et d’é­vi­ter les vari­an­tes ad hoc, les pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té desti­nées à véri­fier la con­for­mi­té des pro­duits con­tenant des élé­ments numé­ri­ques avec les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té défi­nies dans le pré­sent règle­ment doi­vent être fon­dées sur ces modu­les. Les pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té dev­rai­ent exami­ner et véri­fier les exi­gen­ces liées à la fois aux pro­duits et aux pro­ce­s­sus, qui cou­vrent l’en­sem­ble du cycle de vie des pro­duits inté­grant des élé­ments numé­ri­ques, y com­pris la pla­ni­fi­ca­ti­on, la con­cep­ti­on, le déve­lo­p­pe­ment ou la fab­ri­ca­ti­on, les essais et la main­ten­an­ce du pro­duit inté­grant des élé­ments numériques.
(91) L’éva­lua­ti­on de la con­for­mi­té des pro­duits con­tenant des élé­ments numé­ri­ques qui ne sont pas réper­to­riés dans le pré­sent règle­ment com­me pro­duits essen­tiels ou cri­ti­ques con­tenant des élé­ments numé­ri­ques peut être effec­tuée par le fab­ri­cant sous sa pro­pre responsa­bi­li­té, con­for­mé­ment au pré­sent règle­ment, selon la pro­cé­du­re de con­trô­le inter­ne fon­dée sur le modu­le A de la décis­i­on no 768/2008/CE. Cela s’ap­pli­que éga­le­ment aux cas où un fab­ri­cant déci­de de ne pas appli­quer, en tout ou en par­tie, une nor­me har­mo­ni­sée, une spé­ci­fi­ca­ti­on com­mu­ne ou un sché­ma euro­pé­en de cer­ti­fi­ca­ti­on en matiè­re de cyber­sé­cu­ri­té en vigueur. Le fab­ri­cant reste lib­re d’op­ter pour une pro­cé­du­re d’éva­lua­ti­on de la con­for­mi­té plus stric­te faisant inter­ve­nir un tiers. Dans le cad­re de l’éva­lua­ti­on de la con­for­mi­té effec­tuée con­for­mé­ment à la pro­cé­du­re de con­trô­le inter­ne, le fab­ri­cant assu­re et décla­re, sous sa pro­pre responsa­bi­li­té, que le pro­duit con­tenant des élé­ments numé­ri­ques et les pro­ce­s­sus du fab­ri­cant sont con­for­mes aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té appli­ca­bles défi­nies dans le pré­sent règle­ment. Lorsqu’un pro­duit important con­tenant des élé­ments numé­ri­ques relè­ve de la clas­se I, un con­trô­le de con­fi­ance sup­p­lé­men­tai­re est néces­saire pour démon­trer la con­for­mi­té aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té défi­nies dans le pré­sent règle­ment. Le fab­ri­cant doit uti­li­ser des nor­mes har­mo­ni­sées, des spé­ci­fi­ca­ti­ons com­mu­nes ou des sché­mas euro­pé­ens de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té adop­tés con­for­mé­ment au règle­ment (UE) 2019/881 et iden­ti­fi­és par la Com­mis­si­on dans un acte d’exé­cu­ti­on s’il sou­hai­te effec­tuer l’éva­lua­ti­on de la con­for­mi­té sous sa pro­pre responsa­bi­li­té (modu­le A). Si le fab­ri­cant n’uti­li­se pas de tel­les nor­mes har­mo­ni­sées, spé­ci­fi­ca­ti­ons com­mu­nes ou sché­mas euro­pé­ens pour la cer­ti­fi­ca­ti­on en matiè­re de cyber­sé­cu­ri­té, l’éva­lua­ti­on de la con­for­mi­té doit être effec­tuée avec la par­ti­ci­pa­ti­on d’un tiers (sur la base des modu­les B et C ou H). Comp­te tenu de la char­ge admi­ni­stra­ti­ve pesant sur les fab­ri­cants et du fait que la cyber­sé­cu­ri­té joue un rôle important dans la pha­se de con­cep­ti­on et de déve­lo­p­pe­ment des pro­duits maté­ri­els et imma­té­ri­els con­tenant des élé­ments numé­ri­ques, les pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té fon­dées sur les modu­les B et C ou sur le modu­le H de la décis­i­on no 768/2008/CE ont été choi­sies com­me étant les plus appro­priées pour éva­luer de maniè­re pro­por­ti­onnée et effi­cace la con­for­mi­té des pro­duits importants con­tenant des élé­ments numé­ri­ques. Le fab­ri­cant qui fait réa­li­ser l’éva­lua­ti­on de la con­for­mi­té par un tiers peut choi­sir la pro­cé­du­re qui cor­re­spond le mieux à son pro­ce­s­sus de con­cep­ti­on et de fab­ri­ca­ti­on. Comp­te tenu du ris­que de cyber­sé­cu­ri­té enco­re plus éle­vé lié à l’uti­li­sa­ti­on de pro­duits importants con­tenant des élé­ments numé­ri­ques rele­vant de la clas­se II, l’éva­lua­ti­on de leur con­for­mi­té dev­rait tou­jours fai­re inter­ve­nir un tiers, même si le pro­duit est entiè­re­ment ou par­ti­el­le­ment con­for­me aux nor­mes har­mo­ni­sées, aux spé­ci­fi­ca­ti­ons com­mu­nes ou aux sché­mas euro­pé­ens de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té. Les fab­ri­cants de pro­duits importants con­tenant des élé­ments numé­ri­ques con­sidé­rés com­me des logi­ciels libres et à code source ouvert dev­rai­ent pou­voir appli­quer la pro­cé­du­re de con­trô­le inter­ne fon­dée sur le modu­le A, à con­di­ti­on de mett­re la docu­men­ta­ti­on tech­ni­que à la dis­po­si­ti­on du public.
(92) Alors que la fab­ri­ca­ti­on de pro­duits maté­ri­els con­tenant des élé­ments numé­ri­ques néces­si­te géné­ra­le­ment un effort con­sidé­ra­ble tout au long des pha­ses de con­cep­ti­on, de déve­lo­p­pe­ment et de fab­ri­ca­ti­on, la fab­ri­ca­ti­on de pro­duits con­tenant des élé­ments numé­ri­ques sous for­me de logi­ciels se con­cent­re pres­que exclu­si­ve­ment sur la con­cep­ti­on et le déve­lo­p­pe­ment, tan­dis que la pha­se de fab­ri­ca­ti­on joue un rôle second­ai­re. Néan­mo­ins, les pro­duits logi­ciels doi­vent enco­re sou­vent être com­pilés et assem­blés en ver­si­ons, empa­que­tés, mis à dis­po­si­ti­on pour télé­char­ge­ment ou copiés sur des sup­ports phy­si­ques avant d’êt­re mis sur le mar­ché. Lors de l’ap­pli­ca­ti­on des modu­les d’éva­lua­ti­on de la con­for­mi­té per­tin­ents pour véri­fier la con­for­mi­té du pro­duit aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té défi­nies dans le pré­sent règle­ment au cours des pha­ses de con­cep­ti­on, de déve­lo­p­pe­ment et de fab­ri­ca­ti­on, ces acti­vi­tés doi­vent être con­sidé­rées com­me équi­va­len­tes au pro­ce­s­sus de fabrication.
(93) En ce qui con­cer­ne les microentre­pri­ses et les peti­tes ent­re­pri­ses, il con­vi­ent, pour garan­tir la pro­por­ti­on­na­li­té, de rédui­re les coûts admi­ni­stra­tifs sans por­ter att­ein­te au niveau de cyber­sé­cu­ri­té des pro­duits con­tenant des élé­ments numé­ri­ques rele­vant du champ d’ap­pli­ca­ti­on du pré­sent règle­ment ni à l’e­xi­stence de con­di­ti­ons de con­cur­rence équi­ta­bles ent­re les fab­ri­cants. La Com­mis­si­on dev­rait donc éla­bo­rer un for­mu­lai­re sim­pli­fié de docu­men­ta­ti­on tech­ni­que adap­té aux beso­ins des micro et peti­tes ent­re­pri­ses. Le for­mu­lai­re sim­pli­fié de docu­men­ta­ti­on tech­ni­que adop­té par la Com­mis­si­on dev­rait cou­vr­ir tous les élé­ments appli­ca­bles en ce qui con­cer­ne la docu­men­ta­ti­on tech­ni­que pré­vue par le pré­sent règle­ment et indi­quer com­ment une microentre­pri­se ou une peti­te ent­re­pri­se peut four­nir les élé­ments deman­dés sous une for­me con­cise, par exemp­le la descrip­ti­on de la con­cep­ti­on, du déve­lo­p­pe­ment et de la fab­ri­ca­ti­on du pro­duit avec des élé­ments numé­ri­ques. De cet­te maniè­re, le for­mu­lai­re con­tri­buer­ait à rédui­re la char­ge admi­ni­stra­ti­ve liée à la con­for­mi­té en offrant aux ent­re­pri­ses con­cer­nées une sécu­ri­té juri­di­que quant à la por­tée et aux détails des infor­ma­ti­ons à four­nir. Les microentre­pri­ses et les peti­tes ent­re­pri­ses dev­rai­ent avoir la pos­si­bi­li­té de pré­sen­ter les élé­ments appli­ca­bles en rap­port avec la docu­men­ta­ti­on tech­ni­que sous une for­me com­plè­te et de ne pas uti­li­ser le for­mu­lai­re tech­ni­que sim­pli­fié mis à leur disposition.
(94) Afin de pro­mou­voir et de pro­té­ger l’in­no­va­ti­on, il est important d’ac­cor­der une atten­ti­on par­ti­cu­liè­re aux inté­rêts des fab­ri­cants qui sont des microentre­pri­ses ou des peti­tes et moy­ennes ent­re­pri­ses, en par­ti­cu­lier les microentre­pri­ses et les peti­tes ent­re­pri­ses, y com­pris les jeu­nes pous­ses. cet­te fin, les États mem­bres pour­rai­ent éla­bo­rer des initia­ti­ves desti­nées aux fab­ri­cants qui sont des microentre­pri­ses ou des peti­tes ent­re­pri­ses, notam­ment dans les domain­es de la for­ma­ti­on, de la sen­si­bi­li­sa­ti­on, de la com­mu­ni­ca­ti­on d’in­for­ma­ti­ons, des essais, de l’éva­lua­ti­on de la con­for­mi­té par des tiers et de la créa­ti­on de labo­ra­toires réels. Les coûts de tra­duc­tion liés à la docu­men­ta­ti­on obli­ga­toire, tel­le que la docu­men­ta­ti­on tech­ni­que, et aux infor­ma­ti­ons et ins­truc­tions desti­nées aux uti­li­sa­teurs et requi­ses par le pré­sent règle­ment, ain­si qu’à la com­mu­ni­ca­ti­on avec les auto­ri­tés, peu­vent ent­raî­ner des dépen­ses importan­tes pour les fab­ri­cants, en par­ti­cu­lier pour les petits fab­ri­cants. Par con­sé­quent, les États mem­bres dev­rai­ent éga­le­ment pou­voir véri­fier si l’u­ne des lan­gues qu’ils désign­ent et accept­ent pour la docu­men­ta­ti­on per­ti­nen­te des fab­ri­cants et pour la com­mu­ni­ca­ti­on avec les fab­ri­cants est une lan­gue lar­ge­ment com­pri­se par le plus grand nombre pos­si­ble d’utilisateurs.
(95) Afin d’assurer une bon­ne appli­ca­ti­on du pré­sent règle­ment, les États mem­bres dev­rai­ent, dans la mesu­re du pos­si­ble, s’assurer, avant la date d’ap­pli­ca­ti­on du pré­sent règle­ment, qu’il exi­ste un nombre suf­fi­sant d’or­ga­nis­mes noti­fi­és capa­bles de réa­li­ser des éva­lua­tions de la con­for­mi­té par des tiers. La Com­mis­si­on dev­rait, dans la mesu­re du pos­si­ble, aider les États mem­bres et les aut­res par­ties con­cer­nées dans cet­te ent­re­pri­se afin d’é­vi­ter les gou­lets d’étran­gle­ment et les obs­ta­cles à l’ac­cès au mar­ché pour les fab­ri­cants. Des actions de for­ma­ti­on ciblées, menées sous l’é­gide des États mem­bres et, le cas échéant, avec l’ai­de de la Com­mis­si­on, peu­vent con­tri­buer à la dis­po­ni­bi­li­té de pro­fes­si­on­nels qua­li­fi­és ain­si qu’au sou­ti­en des acti­vi­tés des orga­nis­mes noti­fi­és au tit­re du pré­sent règle­ment. En out­re, comp­te tenu des coûts que peut ent­raî­ner l’éva­lua­ti­on de la con­for­mi­té par un tiers, il con­vi­ent d’en­vi­sa­ger des initia­ti­ves de finance­ment au niveau de l’U­ni­on et au niveau natio­nal visa­nt à rédui­re ces coûts pour les microentre­pri­ses et les peti­tes entreprises.
(96) Afin de garan­tir la pro­por­ti­on­na­li­té, les orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té dev­rai­ent tenir comp­te des inté­rêts et des beso­ins par­ti­cu­liers des micro, peti­tes et moy­ennes ent­re­pri­ses, y com­pris les start-ups, lorsqu’ils fixent les rede­van­ces pour les pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té. En par­ti­cu­lier, les orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té ne dev­rai­ent recour­ir aux pro­cé­du­res de véri­fi­ca­ti­on et aux essais per­tin­ents pré­vus par le pré­sent règle­ment que si cela est appro­prié et selon une appro­che fon­dée sur les risques.
(97) Les labo­ra­toires réels dev­rai­ent avoir pour objec­tif de pro­mou­voir l’in­no­va­ti­on et la com­pé­ti­ti­vi­té des ent­re­pri­ses en créant des envi­ron­ne­ments d’es­sai con­trôlés avant la mise sur le mar­ché de pro­duits con­tenant des élé­ments numé­ri­ques. Les labo­ra­toires réels dev­rai­ent con­tri­buer à ren­forcer la sécu­ri­té juri­di­que pour tous les acteurs rele­vant du champ d’ap­pli­ca­ti­on du pré­sent règle­ment et à faci­li­ter et accé­lé­rer l’ac­cès des pro­duits inté­grant des élé­ments numé­ri­ques au mar­ché de l’U­ni­on, notam­ment lorsqu’ils sont four­nis par des microentre­pri­ses et des peti­tes ent­re­pri­ses, y com­pris des start-ups.
(98) Pour que les pro­duits con­tenant des élé­ments numé­ri­ques pui­s­sent fai­re l’ob­jet d’u­ne éva­lua­ti­on de con­for­mi­té par un tiers, les auto­ri­tés natio­na­les de noti­fi­ca­ti­on doi­vent noti­fier les orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té à la Com­mis­si­on et aux aut­res États mem­bres, à con­di­ti­on que ces orga­nis­mes rem­plis­sent un cer­tain nombre d’e­xi­gen­ces, notam­ment en matiè­re d’in­dé­pen­dance, de com­pé­tence et d’ab­sence de con­flit d’intérêts.
(99) Afin de garan­tir un niveau de qua­li­té uni­for­me dans la réa­li­sa­ti­on des éva­lua­tions de la con­for­mi­té des pro­duits con­tenant des élé­ments numé­ri­ques, il est éga­le­ment néces­saire de défi­nir les exi­gen­ces appli­ca­bles aux auto­ri­tés de noti­fi­ca­ti­on et aux aut­res orga­nis­mes inter­venant dans l’éva­lua­ti­on, la noti­fi­ca­ti­on et le con­trô­le des orga­nis­mes noti­fi­és. Le système pré­vu par le pré­sent règle­ment doit être com­plé­té par le système d’ac­cré­di­ta­ti­on pré­vu par le règle­ment (CE) no 765/2008. L’ac­cré­di­ta­ti­on étant un moy­en important de véri­fier la com­pé­tence des orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té, elle dev­rait éga­le­ment être uti­li­sée à des fins de notification.
(100) Les orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té accré­di­tés et noti­fi­és con­for­mé­ment à la légis­la­ti­on de l’U­ni­on qui fixe des exi­gen­ces simi­lai­res à cel­les du pré­sent règle­ment, com­me un orga­nis­me d’éva­lua­ti­on de la con­for­mi­té noti­fié pour un sché­ma euro­pé­en de cer­ti­fi­ca­ti­on en cyber­sé­cu­ri­té adop­té en ver­tu du règle­ment (UE) 2019/881 ou en ver­tu du règle­ment délé­gué (UE) 2022/30, doi­vent être rééva­lués et noti­fi­és en ver­tu du pré­sent règle­ment. Tou­te­fois, les auto­ri­tés com­pé­ten­tes peu­vent défi­nir des syn­er­gies en ce qui con­cer­ne les exi­gen­ces qui se chevauch­ent, afin d’é­vi­ter des char­ges finan­ciè­res et admi­ni­stra­ti­ves inu­tiles et de garan­tir une pro­cé­du­re de noti­fi­ca­ti­on har­mo­nieu­se et en temps utile.
(101) Une accré­di­ta­ti­on trans­pa­ren­te, tel­le que défi­nie par le règle­ment (CE) no 765/2008, qui garan­tit le niveau de con­fi­ance néces­saire dans les cer­ti­fi­cats de con­for­mi­té, dev­rait être con­sidé­rée par les auto­ri­tés natio­na­les de l’en­sem­ble de l’U­ni­on com­me le moy­en pri­vilé­gié de démon­trer la com­pé­tence tech­ni­que des orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té. Tou­te­fois, les auto­ri­tés natio­na­les peu­vent esti­mer qu’el­les dis­po­sent des moy­ens appro­priés pour pro­cé­der elles-mêmes à cet­te éva­lua­ti­on. Dans ce cas, afin de garan­tir la cré­di­bi­li­té des éva­lua­tions effec­tuées par d’aut­res auto­ri­tés natio­na­les, elles doi­vent four­nir à la Com­mis­si­on et aux aut­res États mem­bres tous les docu­ments néces­saires atte­stant que les orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té éva­lués satis­font aux exi­gen­ces léga­les applicables.
(102) Il est fré­quent que les orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té sous-trai­tent une par­tie de leurs acti­vi­tés d’éva­lua­ti­on de la con­for­mi­té ou les con­fi­ent à des filia­les. Afin de main­te­nir le niveau de pro­tec­tion requis pour la mise sur le mar­ché de pro­duits con­tenant des élé­ments numé­ri­ques dans l’U­ni­on, il est essen­tiel que les sous-trai­tants et les filia­les respec­tent les mêmes exi­gen­ces que les orga­nis­mes noti­fi­és pour l’exé­cu­ti­on des tâches d’éva­lua­ti­on de la conformité.
(103) La noti­fi­ca­ti­on d’un orga­nis­me d’éva­lua­ti­on de la con­for­mi­té doit être trans­mi­se à la Com­mis­si­on et aux aut­res États mem­bres par l’au­to­ri­té noti­fi­an­te via le système d’in­for­ma­ti­on NANDO (New Approach Noti­fi­ed and Desi­gna­ted Orga­ni­sa­ti­ons, système d’in­for­ma­ti­on pour les orga­nis­mes noti­fi­és et dési­gnés dans le cad­re de la nou­vel­le appro­che). Le système d’in­for­ma­ti­on NANDO est l’ou­til de noti­fi­ca­ti­on élec­tro­ni­que déve­lo­p­pé et géré par la Com­mis­si­on, qui tient à jour une liste de tous les orga­nis­mes notifiés.
(104) Étant don­né que les orga­nis­mes noti­fi­és peu­vent offrir leurs ser­vices dans tou­te l’U­ni­on, les aut­res États mem­bres et la Com­mis­si­on doi­vent avoir la pos­si­bi­li­té de sou­le­ver des objec­tions à l’en­cont­re d’un orga­nis­me noti­fié. Il est donc important de pré­voir un délai pour résoud­re les éven­tuels dou­tes ou pré­oc­cu­pa­ti­ons con­cer­nant la com­pé­tence des orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té avant qu’ils ne com­men­cent à tra­vail­ler en tant qu’or­ga­nis­mes notifiés.
(105) Dans l’in­té­rêt de la com­pé­ti­ti­vi­té, il est essen­tiel que les orga­nis­mes noti­fi­és appli­quent les pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té sans cré­er de char­ges inu­tiles pour les opé­ra­teurs éco­no­mi­ques. Pour la même rai­son, et afin de garan­tir l’é­ga­li­té de trai­te­ment des opé­ra­teurs éco­no­mi­ques, il con­vi­ent d’assurer une appli­ca­ti­on tech­ni­que uni­for­me des pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té. Le meil­leur moy­en d’y par­ve­nir est d’assurer une coor­di­na­ti­on et une coopé­ra­ti­on appro­priées ent­re les orga­nis­mes notifiés.
(106) La sur­veil­lan­ce du mar­ché est un outil essen­tiel pour garan­tir une appli­ca­ti­on cor­rec­te et uni­for­me du droit de l’U­ni­on. Il con­vi­ent donc de mett­re en place un cad­re juri­di­que dans lequel la sur­veil­lan­ce du mar­ché pui­s­se s’ef­fec­tuer de maniè­re appro­priée. Les dis­po­si­ti­ons du règle­ment (UE) 2019/1020 rela­ti­ves à la sur­veil­lan­ce du mar­ché de l’U­ni­on et au con­trô­le des pro­duits ent­rant sur le mar­ché de l’U­ni­on s’ap­pli­quent éga­le­ment aux pro­duits con­tenant des élé­ments numé­ri­ques qui relè­vent du champ d’ap­pli­ca­ti­on du pré­sent règlement.
(107) Le règle­ment (UE) 2019/1020 pré­voit qu’u­ne auto­ri­té de sur­veil­lan­ce du mar­ché assu­re la sur­veil­lan­ce du mar­ché sur le ter­ri­toire de l’É­tat membre qui la dési­gne. Le pré­sent règle­ment ne dev­rait pas empêcher les États mem­bres de déci­der quel­les sont les auto­ri­tés com­pé­ten­tes pour l’exé­cu­ti­on des tâches de sur­veil­lan­ce du mar­ché. Chaque État membre dev­rait dési­gner une ou plu­sieurs auto­ri­tés de sur­veil­lan­ce du mar­ché sur son ter­ri­toire. Les États mem­bres dev­rai­ent pou­voir déci­der de dési­gner une auto­ri­té exi­stan­te ou une nou­vel­le auto­ri­té com­me auto­ri­té de sur­veil­lan­ce du mar­ché, y com­pris les auto­ri­tés com­pé­ten­tes dési­gnées ou insti­tuées con­for­mé­ment à l’ar­tic­le 8 de la direc­ti­ve (UE) 2022/2555, les auto­ri­tés natio­na­les de cer­ti­fi­ca­ti­on en matiè­re de cyber­sé­cu­ri­té dési­gnées con­for­mé­ment à l’ar­tic­le 58 du règle­ment (UE) 2019/881 ou les auto­ri­tés de sur­veil­lan­ce du mar­ché dési­gnées con­for­mé­ment à la direc­ti­ve 2014/53/UE. Les opé­ra­teurs éco­no­mi­ques dev­rai­ent coopé­rer plei­ne­ment avec les auto­ri­tés de sur­veil­lan­ce du mar­ché et les aut­res auto­ri­tés com­pé­ten­tes. Chaque État membre dev­rait infor­mer la Com­mis­si­on et les aut­res États mem­bres de ses auto­ri­tés de sur­veil­lan­ce du mar­ché et de leurs domain­es de com­pé­tence respec­tifs, et veil­ler à ce qu’el­les dis­po­sent des res­sour­ces et des capa­ci­tés néces­saires à l’exé­cu­ti­on des tâches de sur­veil­lan­ce du mar­ché dans le cad­re du pré­sent règle­ment. Con­for­mé­ment à l’ar­tic­le 10, para­gra­phes 2 et 3, du règle­ment (UE) 2019/1020 , chaque État membre dev­rait dési­gner un bureau de liai­son uni­que char­gé, ent­re aut­res, de repré­sen­ter la posi­ti­on coor­don­née des auto­ri­tés de sur­veil­lan­ce du mar­ché et de sou­te­nir la coopé­ra­ti­on ent­re les auto­ri­tés de sur­veil­lan­ce du mar­ché de dif­fér­ents États membres.
(108) En vue d’u­ne appli­ca­ti­on uni­for­me du pré­sent règle­ment, il con­vi­ent d’in­sti­tuer un ADCO pour la cyber-rési­li­ence des pro­duits con­tenant des élé­ments numé­ri­ques, con­for­mé­ment à l’ar­tic­le 30, para­gra­phe 2, du règle­ment (UE) 2019/1020. L’ADCO dev­rait se com­po­ser de repré­sen­tants des auto­ri­tés de sur­veil­lan­ce du mar­ché dési­gnées et, le cas échéant, de repré­sen­tants des bureaux de liai­son uni­ques. La Com­mis­si­on dev­rait sou­te­nir et encou­ra­ger la coopé­ra­ti­on ent­re les auto­ri­tés de sur­veil­lan­ce du mar­ché par l’in­ter­mé­di­ai­re du réseau de l’U­ni­on sur la con­for­mi­té des pro­duits, éta­b­li con­for­mé­ment à l’ar­tic­le 29 du règle­ment (UE) 2019/1020 et com­po­sé de repré­sen­tants de chaque État membre, y com­pris un repré­sen­tant de chaque bureau cen­tral de liai­son visé à l’ar­tic­le 10 dudit règle­ment et un expert natio­nal facul­ta­tif, ain­si que des pré­si­dents de l’AD­CO et des repré­sen­tants de la Com­mis­si­on. La Com­mis­si­on dev­rait par­ti­ci­per aux réuni­ons du réseau de l’U­ni­on sur la con­for­mi­té des pro­duits, de ses sous-grou­pes et d’AD­CO. Elle dev­rait assi­ster l’AD­CO par l’in­ter­mé­di­ai­re d’un secré­ta­ri­at exé­cu­tif qui lui appor­terait un sou­ti­en tech­ni­que et logi­stique. L’ADCO peut éga­le­ment invi­ter des experts indé­pen­dants à par­ti­ci­per et se mett­re en cont­act avec d’aut­res ADCO, par exemp­le cel­le cré­ée dans le cad­re de la direc­ti­ve 2014/53/UE.
(109) Les auto­ri­tés de sur­veil­lan­ce du mar­ché dev­rai­ent coopé­rer étroi­te­ment par l’in­ter­mé­di­ai­re de l’AD­CO, cré­ée en ver­tu du pré­sent règle­ment, et être en mesu­re d’é­la­bo­rer des docu­ments d’o­ri­en­ta­ti­on afin de faci­li­ter les acti­vi­tés de sur­veil­lan­ce du mar­ché au niveau natio­nal, par exemp­le en met­tant au point des bon­nes pra­ti­ques et des indi­ca­teurs per­met­tant de véri­fier effi­ca­ce­ment la con­for­mi­té des pro­duits con­tenant des élé­ments numé­ri­ques avec le pré­sent règlement.
(110) Afin de prend­re des mesu­res oppor­tu­nes, pro­por­ti­onnées et effi­caces à l’é­gard des pro­duits con­tenant des élé­ments numé­ri­ques qui pré­sen­tent un ris­que important en matiè­re de cyber­sé­cu­ri­té, il con­vi­ent de pré­voir une pro­cé­du­re de clau­se de sau­vegar­de de l’U­ni­on per­met­tant d’in­for­mer les par­ties inté­res­sées des mesu­res envi­sa­gées à l’é­gard de ces pro­duits. Cela per­met­trait aux auto­ri­tés de sur­veil­lan­ce du mar­ché, en coopé­ra­ti­on avec les opé­ra­teurs éco­no­mi­ques con­cer­nés, d’in­ter­ve­nir plus tôt si néces­saire. Lorsque les États mem­bres et la Com­mis­si­on con­vi­en­nent qu’u­ne mesu­re pri­se par un État membre est justi­fi­ée, l’in­ter­ven­ti­on de la Com­mis­si­on ne dev­rait se pour­suiv­re que si la non-con­for­mi­té peut être attri­buée à des lacu­nes dans une nor­me harmonisée.
(111) Dans cer­ta­ins cas, un pro­duit con­tenant des élé­ments numé­ri­ques con­for­me au pré­sent règle­ment peut néan­mo­ins pré­sen­ter un ris­que important en matiè­re de cyber­sé­cu­ri­té ou un ris­que pour la san­té ou la sécu­ri­té des per­son­nes, pour le respect des obli­ga­ti­ons décou­lant du droit de l’U­ni­on ou du droit natio­nal en matiè­re de pro­tec­tion des droits fon­da­men­taux, pour la dis­po­ni­bi­li­té, l’au­then­ti­ci­té, l’in­té­gri­té ou la con­fi­den­tia­li­té des ser­vices four­nis au moy­en d’un système élec­tro­ni­que d’in­for­ma­ti­on par des enti­tés essen­ti­el­les au sens de l’ar­tic­le 3, para­gra­phe 1, de la direc­ti­ve (UE) 2022/2555 , ou pour d’aut­res aspects de la pro­tec­tion des inté­rêts publics. Il est donc néces­saire d’é­ta­b­lir des règles garan­tis­sant l’at­té­nua­ti­on de ces ris­ques. Par con­sé­quent, les auto­ri­tés de sur­veil­lan­ce du mar­ché doi­vent adop­ter des mesu­res obli­geant l’opé­ra­teur éco­no­mi­que, en fonc­tion du ris­que, à fai­re en sor­te que le pro­duit ne pré­sen­te plus ce ris­que ou à le rap­pe­l­er ou à le reti­rer du mar­ché. Lorsqu’u­ne auto­ri­té de sur­veil­lan­ce du mar­ché rest­reint ou inter­dit de la sor­te la lib­re cir­cula­ti­on d’un pro­duit con­tenant des élé­ments numé­ri­ques, l’É­tat membre doit en infor­mer immé­dia­te­ment la Com­mis­si­on et les aut­res États mem­bres, en pré­cisant les rai­sons et les argu­ments justi­fi­ant sa décis­i­on. Lorsqu’u­ne auto­ri­té de sur­veil­lan­ce du mar­ché prend de tel­les mesu­res à l’en­cont­re de pro­duits inté­grant des élé­ments numé­ri­ques qui pré­sen­tent un ris­que, la Com­mis­si­on dev­rait immé­dia­te­ment ent­amer des con­sul­ta­ti­ons avec les États mem­bres et le ou les opé­ra­teurs éco­no­mi­ques con­cer­nés et éva­luer la mesu­re natio­na­le. Sur la base des résul­tats de cet­te éva­lua­ti­on, la Com­mis­si­on dev­rait déci­der si la mesu­re natio­na­le est justi­fi­ée ou non. La Com­mis­si­on dev­rait adress­er sa décis­i­on à tous les États mem­bres et la leur com­mu­ni­quer immé­dia­te­ment, ain­si qu’au(x) opérateur(s) économique(s) concerné(s). Si la mesu­re est jugée justi­fi­ée, la Com­mis­si­on dev­rait éga­le­ment être en mesu­re d’en­vi­sa­ger des pro­po­si­ti­ons de révi­si­on de la légis­la­ti­on per­ti­nen­te de l’Union.
(112) pour les pro­duits con­tenant des élé­ments numé­ri­ques qui pré­sen­tent un ris­que important en matiè­re de cyber­sé­cu­ri­té et dont il y a lieu de cro­i­re qu’ils ne sont pas con­for­mes au pré­sent règle­ment, ou pour les pro­duits qui, bien que con­for­mes au pré­sent règle­ment, pré­sen­tent d’aut­res ris­ques importants, tels que des ris­ques pour la san­té ou la sécu­ri­té des per­son­nes, pour le respect des obli­ga­ti­ons décou­lant du droit de l’U­ni­on ou du droit natio­nal en matiè­re de pro­tec­tion des droits fon­da­men­taux, ou pour la dis­po­ni­bi­li­té, l’au­then­ti­ci­té, l’in­té­gri­té ou la con­fi­den­tia­li­té des ser­vices four­nis par l’in­ter­mé­di­ai­re d’un système d’in­for­ma­ti­on élec­tro­ni­que par des enti­tés essen­ti­el­les au sens de l’ar­tic­le 3, para­gra­phe 1, de la direc­ti­ve (UE) 2022/2555, la Com­mis­si­on dev­rait pou­voir deman­der à l’E­NISA de pro­cé­der à une éva­lua­ti­on. Sur la base de cet­te éva­lua­ti­on, la Com­mis­si­on dev­rait pou­voir adop­ter, au moy­en d’ac­tes d’exé­cu­ti­on, des mesu­res cor­rec­ti­ves ou rest­ric­ti­ves au niveau de l’U­ni­on, y com­pris ordon­ner le retrait du mar­ché ou le rap­pel des pro­duits con­cer­nés con­tenant des élé­ments numé­ri­ques dans un délai pro­por­ti­onné à la natu­re du ris­que. Une tel­le inter­ven­ti­on de la Com­mis­si­on ne dev­rait être pos­si­ble que dans des cir­con­stances excep­ti­on­nel­les justi­fi­ant une action immé­dia­te pour pré­ser­ver le bon fonc­tion­ne­ment du mar­ché inté­ri­eur et uni­quement si les auto­ri­tés de sur­veil­lan­ce du mar­ché n’ont pas pris de mesu­res effi­caces pour remé­dier à la situa­ti­on. Ces cir­con­stances excep­ti­on­nel­les peu­vent être des situa­tions d’ur­gence dans les­quel­les, par exemp­le, un pro­duit non con­for­me con­tenant des élé­ments numé­ri­ques est mis à dis­po­si­ti­on sur le mar­ché à gran­de échel­le par le fab­ri­cant dans plu­sieurs États mem­bres, y com­pris dans des sec­teurs clés d’é­ta­blis­se­ments rele­vant du champ d’ap­pli­ca­ti­on de la direc­ti­ve (UE) 2022/2555, et pré­sen­te des vul­né­ra­bi­li­tés con­nues qui sont exploi­tées par des acteurs mal­veil­lants et pour les­quel­les le fab­ri­cant ne four­nit pas de cor­rec­tifs dis­po­ni­bles. Dans de tel­les situa­tions d’ur­gence, la Com­mis­si­on ne dev­rait pou­voir inter­ve­nir que pen­dant la durée des cir­con­stances excep­ti­on­nel­les et seu­le­ment tant que la non-con­for­mi­té au pré­sent règle­ment ou les ris­ques majeurs persistent.
(113) Lorsqu’il exi­ste des preu­ves de non-con­for­mi­té au pré­sent règle­ment dans plu­sieurs États mem­bres, les auto­ri­tés de sur­veil­lan­ce du mar­ché dev­rai­ent être en mesu­re de mener des acti­vi­tés con­join­tes avec d’aut­res auto­ri­tés afin de véri­fier la con­for­mi­té et d’i­den­ti­fier les ris­ques de cyber­sé­cu­ri­té liés aux pro­duits con­tenant des élé­ments numériques.
(114) Les con­trô­les coor­don­nés simul­ta­nés (“sweeps”) sont des mesu­res d’ap­pli­ca­ti­on spé­ci­fi­ques menées par les auto­ri­tés de sur­veil­lan­ce du mar­ché et qui peu­vent amé­lio­rer enco­re la sécu­ri­té des pro­duits. Les bala­ya­ges dev­rai­ent être effec­tués en par­ti­cu­lier lorsque l’é­vo­lu­ti­on du mar­ché, les plain­tes des con­som­ma­teurs ou d’aut­res signes indi­quent que cer­tai­nes caté­go­ries de pro­duits con­tenant des élé­ments numé­ri­ques pré­sen­tent sou­vent des ris­ques de cyber­sé­cu­ri­té. En out­re, les auto­ri­tés de sur­veil­lan­ce du mar­ché dev­rai­ent tenir comp­te des cir­con­stances liées aux fac­teurs de ris­que non tech­ni­ques lorsqu’el­les déter­mi­nent les caté­go­ries de pro­duits à sou­mett­re à des bala­ya­ges. cet­te fin, les auto­ri­tés de sur­veil­lan­ce du mar­ché dev­rai­ent être en mesu­re de prend­re en con­sidé­ra­ti­on les résul­tats des éva­lua­tions des ris­ques rela­ti­ves à la sûre­té des chaî­nes d’ap­pro­vi­si­on­ne­ment cri­ti­ques coor­don­nées au niveau de l’U­ni­on con­for­mé­ment à l’ar­tic­le 22 de la direc­ti­ve (UE) 2022/2555, y com­pris les cir­con­stances rela­ti­ves aux fac­teurs de ris­que non tech­ni­ques. L’ENISA dev­rait sou­mett­re aux auto­ri­tés de sur­veil­lan­ce du mar­ché des pro­po­si­ti­ons de caté­go­ries de pro­duits con­tenant des élé­ments numé­ri­ques pour les­quels des bala­ya­ges pour­rai­ent être orga­ni­sés, notam­ment sur la base des noti­fi­ca­ti­ons de vul­né­ra­bi­li­tés et d’in­ci­dents de sécu­ri­té qu’el­le reçoit.
(115) Comp­te tenu de son exper­ti­se et de sa mis­si­on, l’E­NISA dev­rait être en mesu­re de sou­te­nir le pro­ce­s­sus de mise en œuvre du pré­sent règle­ment. En par­ti­cu­lier, l’E­NISA dev­rait être en mesu­re de pro­po­ser des acti­vi­tés com­mu­nes à mener par les auto­ri­tés de sur­veil­lan­ce du mar­ché sur la base d’in­di­ca­ti­ons ou d’in­for­ma­ti­ons con­cer­nant une éven­tu­el­le non-con­for­mi­té de pro­duits con­tenant des élé­ments numé­ri­ques avec le pré­sent règle­ment dans plu­sieurs États mem­bres, ou d’i­den­ti­fier des caté­go­ries de pro­duits pour les­quel­les des bala­ya­ges dev­rai­ent être orga­ni­sés. Dans des cir­con­stances excep­ti­on­nel­les, l’E­NISA dev­rait pou­voir, à la deman­de de la Com­mis­si­on, pro­cé­der à des éva­lua­tions con­cer­nant des pro­duits spé­ci­fi­ques con­tenant des élé­ments numé­ri­ques qui pré­sen­tent un ris­que important en matiè­re de cyber­sé­cu­ri­té, lorsqu’u­ne inter­ven­ti­on immé­dia­te est néces­saire pour pré­ser­ver le bon fonc­tion­ne­ment du mar­ché intérieur.
(116) Le pré­sent règle­ment con­fie à l’E­NISA cer­tai­nes tâches qui néces­si­tent des res­sour­ces adé­qua­tes, tant en ter­mes d’ex­per­ti­se que de res­sour­ces humain­es, afin de per­mett­re à l’E­NISA de s’ac­quit­ter effi­ca­ce­ment de ces tâches. Lors de l’é­la­bo­ra­ti­on du pro­jet de bud­get géné­ral de l’U­ni­on, la Com­mis­si­on pro­po­se­ra les res­sour­ces bud­gé­tai­res néces­saires pour le tableau des effec­tifs de l’E­NISA, con­for­mé­ment à la pro­cé­du­re pré­vue à l’ar­tic­le 29 du règle­ment (UE) 2019/881. Au cours de ce pro­ce­s­sus, la Com­mis­si­on tien­dra comp­te des res­sour­ces glo­ba­les de l’E­NISA afin de lui per­mett­re de mener à bien ses mis­si­ons, y com­pris cel­les qui lui sont con­fiées en ver­tu du pré­sent règlement.
(117) Afin de per­mett­re l’ad­ap­t­ati­on du cad­re juri­di­que si néces­saire, il con­vi­ent de délé­guer à la Com­mis­si­on le pou­voir d’ad­op­ter des actes con­for­mé­ment à l’ar­tic­le 290 du trai­té sur le fonc­tion­ne­ment de l’U­ni­on euro­pé­en­ne (TFUE) en ce qui con­cer­ne la mise à jour de la liste des pro­duits importants con­tenant des élé­ments numé­ri­ques et leur inclu­si­on dans l’an­ne­xe du pré­sent règle­ment. Il con­vi­ent de délé­guer à la Com­mis­si­on le pou­voir d’ad­op­ter des actes con­for­mé­ment audit artic­le en ce qui con­cer­ne la défi­ni­ti­on des pro­duits con­tenant des élé­ments numé­ri­ques qui sont cou­verts par d’aut­res dis­po­si­ti­ons de l’U­ni­on assu­rant le même niveau de pro­tec­tion que celui pré­vu par le pré­sent règle­ment, ain­si que la déter­mi­na­ti­on de la néces­si­té d’u­ne limi­ta­ti­on ou d’u­ne exclu­si­on du champ d’ap­pli­ca­ti­on du pré­sent règle­ment et, le cas échéant, la défi­ni­ti­on de la por­tée de cet­te limi­ta­ti­on. Il con­vi­ent éga­le­ment de délé­guer à la Com­mis­si­on le pou­voir d’ad­op­ter des actes con­for­mé­ment audit artic­le en vue d’im­po­ser, le cas échéant, la cer­ti­fi­ca­ti­on des pro­duits cri­ti­ques con­tenant des élé­ments numé­ri­ques énu­mé­rés dans une anne­xe du pré­sent règle­ment dans le cad­re d’un système euro­pé­en de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té, pour mett­re à jour la liste des pro­duits cri­ti­ques con­tenant des élé­ments numé­ri­ques sur la base des critères de cri­ti­ci­té défi­nis dans le pré­sent règle­ment et pour défi­nir les systè­mes euro­pé­ens de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té, adop­tés con­for­mé­ment au règle­ment (UE) 2019/881, qui peu­vent être uti­li­sés pour démon­trer la con­for­mi­té aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té ou à cer­tai­nes par­ties de cel­les-ci, tel­les que défi­nies dans une anne­xe du pré­sent règle­ment. Il con­vi­ent éga­le­ment de délé­guer à la Com­mis­si­on le pou­voir d’ad­op­ter des actes afin de déter­mi­ner, pour cer­tai­nes caté­go­ries de pro­duits, la péri­ode mini­ma­le d’as­si­stance lorsque les don­nées de sur­veil­lan­ce du mar­ché indi­quent des péri­odes d’as­si­stance insuf­fi­san­tes, et de fixer les con­di­ti­ons com­mer­cia­les pour l’ap­pli­ca­ti­on des motifs liés au ris­que de cyber­sé­cu­ri­té lorsque les noti­fi­ca­ti­ons de vul­né­ra­bi­li­tés acti­ve­ment exploi­tées ne sont trans­mi­ses qu’a­vec retard. En out­re, il con­vi­ent de délé­guer à la Com­mis­si­on le pou­voir d’ad­op­ter des actes en vue d’é­ta­b­lir des pro­gram­mes volon­tai­res d’at­te­sta­ti­on de la sécu­ri­té desti­nés à éva­luer la con­for­mi­té des pro­duits con­tenant des élé­ments numé­ri­ques con­sidé­rés com­me des logi­ciels libres et à code source ouvert à l’en­sem­ble ou à cer­tai­nes des exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té ou à d’aut­res obli­ga­ti­ons énon­cées dans le pré­sent règle­ment, ain­si que d’im­po­ser des infor­ma­ti­ons mini­ma­les pour la décla­ra­ti­on de con­for­mi­té de l’U­ni­on et de com­plé­ter les élé­ments à inclu­re dans la docu­men­ta­ti­on tech­ni­que. Il est par­ti­cu­liè­re­ment important que la Com­mis­si­on procè­de, au cours de ses travaux pré­pa­ra­toires, à des con­sul­ta­ti­ons appro­priées, y com­pris au niveau des experts, con­for­mé­ment aux prin­cipes énon­cés dans l’ac­cord inter­in­sti­tu­ti­on­nel du 13 avril 2016 “Mieux légifé­rer” (31). En par­ti­cu­lier, afin de garan­tir une par­ti­ci­pa­ti­on éga­le à la pré­pa­ra­ti­on des actes délé­gués, le Par­le­ment euro­pé­en et le Con­seil reçoi­vent tous les docu­ments en même temps que les experts des États mem­bres, et leurs experts ont sys­té­ma­ti­quement accès aux réuni­ons des grou­pes d’ex­perts de la Com­mis­si­on char­gés de la pré­pa­ra­ti­on des actes délé­gués. Le pou­voir d’ad­op­ter des actes délé­gués en ver­tu du pré­sent règle­ment est con­fé­ré à la Com­mis­si­on pour une péri­ode de cinq ans à comp­ter du 10 décembre 2024. La Com­mis­si­on dev­rait éta­b­lir un rap­port rela­tif à la délé­ga­ti­on de pou­voir au plus tard neuf mois avant la fin de la péri­ode de cinq ans. La délé­ga­ti­on de pou­voir dev­rait être taci­te­ment renou­velée pour des péri­odes de même durée, sauf si le Par­le­ment euro­pé­en ou le Con­seil s’op­po­se à ce renou­vel­le­ment au plus tard trois mois avant la fin de la péri­ode concernée.
(118) Afin d’assurer des con­di­ti­ons uni­for­mes d’ap­pli­ca­ti­on du pré­sent règle­ment, il con­vi­ent de con­fé­rer des com­pé­ten­ces d’exé­cu­ti­on à la Com­mis­si­on en ce qui con­cer­ne les élé­ments sui­vants : défi­nir la descrip­ti­on tech­ni­que des caté­go­ries de pro­duits importants con­tenant des élé­ments numé­ri­ques énu­mé­rés dans une anne­xe du pré­sent règle­ment, défi­nir le for­mat et les élé­ments de la nomen­cla­tu­re des logi­ciels, pré­cis­er le for­mat et la pro­cé­du­re de noti­fi­ca­ti­on des vul­né­ra­bi­li­tés acti­ve­ment exploi­tées et des inci­dents de sécu­ri­té majeurs qui ont une inci­dence sur la sécu­ri­té des pro­duits con­tenant des élé­ments numé­ri­ques, tel­le qu’el­le est com­mu­ni­quée par les fab­ri­cants, défi­nir des spé­ci­fi­ca­ti­ons com­mu­nes pour les exi­gen­ces tech­ni­ques per­met­tant de satis­fai­re aux exi­gen­ces essen­ti­el­les en matiè­re de cyber­sé­cu­ri­té énon­cées dans une anne­xe du pré­sent règle­ment, défi­nir des spé­ci­fi­ca­ti­ons tech­ni­ques pour les éti­quet­tes, pic­to­gram­mes ou aut­res mar­quages rela­tifs à la sécu­ri­té des pro­duits con­tenant des élé­ments numé­ri­ques et leur péri­ode de pri­se en char­ge, ain­si que les méca­nis­mes visa­nt à pro­mou­voir leur uti­li­sa­ti­on et à sen­si­bi­li­ser le public à la sécu­ri­té des pro­duits con­tenant des élé­ments numé­ri­ques, la défi­ni­ti­on du for­mu­lai­re sim­pli­fié de docu­men­ta­ti­on adap­té aux beso­ins des microentre­pri­ses et des peti­tes ent­re­pri­ses, et la décis­i­on de mesu­res cor­rec­ti­ves ou rest­ric­ti­ves au niveau de l’U­ni­on dans des cir­con­stances excep­ti­on­nel­les justi­fi­ant une inter­ven­ti­on immé­dia­te afin de pré­ser­ver le bon fonc­tion­ne­ment du mar­ché inté­ri­eur. Ces pou­voirs dev­rai­ent être exer­cés con­for­mé­ment au règle­ment (UE) no 182/2011 du Par­le­ment euro­pé­en et du Con­seil (32).
(119) Afin d’assurer une coopé­ra­ti­on con­fi­an­te et cons­truc­ti­ve ent­re les auto­ri­tés de sur­veil­lan­ce du mar­ché au niveau de l’U­ni­on et des États mem­bres, tou­tes les par­ties con­cer­nées par l’ap­pli­ca­ti­on du pré­sent règle­ment dev­rai­ent respec­ter la con­fi­den­tia­li­té des infor­ma­ti­ons et des don­nées obte­nues dans le cad­re de l’e­xer­ci­ce de leurs activités.
(120) Afin d’assurer l’ap­pli­ca­ti­on effec­ti­ve des obli­ga­ti­ons pré­vues par le pré­sent règle­ment, chaque auto­ri­té de sur­veil­lan­ce du mar­ché dev­rait être habi­li­tée à impo­ser des amen­des ou à en deman­der l’im­po­si­ti­on. Par con­sé­quent, il con­vi­ent éga­le­ment de fixer des pla­fonds pour les amen­des à pré­voir en droit natio­nal en cas de non-respect des obli­ga­ti­ons pré­vues par le pré­sent règle­ment. Pour déci­der du mon­tant de l’a­men­de, il con­vi­ent de prend­re en comp­te, dans chaque cas, tou­tes les cir­con­stances per­ti­nen­tes de la situa­ti­on con­crè­te et, au mini­mum, les cir­con­stances expres­sé­ment pré­vues par le pré­sent règle­ment, y com­pris si le fab­ri­cant est une microentre­pri­se ou une peti­te ou moy­enne ent­re­pri­se, y com­pris une start-up, et si la même auto­ri­té de sur­veil­lan­ce du mar­ché ou d’aut­res auto­ri­tés de sur­veil­lan­ce du mar­ché ont déjà inf­li­gé des amen­des au même opé­ra­teur éco­no­mi­que pour une infrac­tion simi­lai­re. De tel­les cir­con­stances pour­rai­ent être soit aggra­van­tes, si l’in­frac­tion com­mi­se par le même opé­ra­teur éco­no­mi­que se pour­su­it sur le ter­ri­toire d’un État membre aut­re que celui où une amen­de a déjà été inf­li­gée, soit atté­nu­an­tes, en veil­lant à ce que les sanc­tions inf­li­gées dans d’aut­res États mem­bres et leur mon­tant, ain­si que d’aut­res cir­con­stances con­crè­tes per­ti­nen­tes, soi­ent pris en comp­te lorsqu’u­ne aut­re auto­ri­té de sur­veil­lan­ce du mar­ché envi­sa­ge d’in­f­li­ger une nou­vel­le amen­de pour le même opé­ra­teur éco­no­mi­que ou le même type d’in­frac­tion. En tout état de cau­se, le mon­tant total des amen­des que les auto­ri­tés de sur­veil­lan­ce du mar­ché de plu­sieurs États mem­bres pour­rai­ent inf­li­ger au même opé­ra­teur éco­no­mi­que pour le même type d’in­frac­tion dev­rait être con­for­me au prin­ci­pe de pro­por­ti­on­na­li­té. Étant don­né que des amen­des ne sont pas inf­li­gées aux microentre­pri­ses ou aux peti­tes ent­re­pri­ses pour non-respect du délai de noti­fi­ca­ti­on pré­co­ce de 24 heu­res en cas de vul­né­ra­bi­li­té acti­ve­ment exploi­tée ou d’in­ci­dent de sécu­ri­té gra­ve affec­tant la sécu­ri­té du pro­duit con­tenant des élé­ments numé­ri­ques, ni aux admi­ni­stra­teurs de logi­ciels à code source lib­re pour vio­la­ti­on du pré­sent règle­ment, et sous réser­ve du prin­ci­pe selon lequel les sanc­tions doi­vent être effi­caces, pro­por­ti­onnées et dissua­si­ves, les États mem­bres ne dev­rai­ent pas impo­ser d’aut­res sanc­tions finan­ciè­res à ces entités.
(121) Lorsque des amen­des sont inf­li­gées à une per­son­ne qui n’est pas une ent­re­pri­se, l’au­to­ri­té com­pé­ten­te dev­rait tenir comp­te du niveau géné­ral des reve­nus dans l’É­tat membre con­cer­né et de la situa­ti­on éco­no­mi­que des per­son­nes pour déter­mi­ner le mon­tant de l’a­men­de. Les États mem­bres dev­rai­ent pou­voir déter­mi­ner si et dans quel­le mesu­re des amen­des peu­vent être inf­li­gées aux auto­ri­tés publiques.
(122) Les États mem­bres dev­rai­ent exami­ner, en tenant comp­te des cir­con­stances natio­na­les, la pos­si­bi­li­té d’uti­li­ser le pro­duit des sanc­tions pré­vues par le pré­sent règle­ment ou des recet­tes équi­va­len­tes pour sou­te­nir les stra­té­gies de cyber­sé­cu­ri­té et amé­lio­rer le niveau de cyber­sé­cu­ri­té dans l’U­ni­on, notam­ment en aug­men­tant le nombre de pro­fes­si­on­nels qua­li­fi­és en cyber­sé­cu­ri­té, en ren­for­çant les capa­ci­tés des microentre­pri­ses et des peti­tes et moy­ennes ent­re­pri­ses et en sen­si­bi­li­sant le public aux cybermenaces.
(123) Dans ses rela­ti­ons avec les pays tiers, l’U­ni­on cher­che à pro­mou­voir le com­mer­ce inter­na­tio­nal de pro­duits régle­men­tés. Tou­te une série de mesu­res peu­vent être appli­quées pour faci­li­ter les éch­an­ges, notam­ment dif­fér­ents instru­ments juri­di­ques tels que les accords bila­té­raux (inter­gou­ver­ne­men­taux) de recon­nais­sance mutu­el­le (ARM) sur l’éva­lua­ti­on de la con­for­mi­té et l’é­ti­que­ta­ge des pro­duits régle­men­tés. Les accords de recon­nais­sance mutu­el­le sont con­clus ent­re l’U­ni­on et des pays tiers qui se trou­vent à un niveau com­pa­ra­ble de déve­lo­p­pe­ment tech­ni­que et dont l’appro­che de l’éva­lua­ti­on de la con­for­mi­té est con­sidé­rée com­me com­pa­ti­ble. Ces accords repo­sent sur la recon­nais­sance mutu­el­le des cer­ti­fi­cats, mar­ques de con­for­mi­té et rap­ports d’es­sais four­nis par les orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té de chaque par­tie con­for­mé­ment à la légis­la­ti­on de l’aut­re par­tie. De tels accords de recon­nais­sance mutu­el­le exi­stent actu­el­le­ment avec plu­sieurs pays tiers. Ces accords sont con­clus pour un cer­tain nombre de sec­teurs spé­ci­fi­ques, qui peu­vent vari­er d’un pays tiers à l’aut­re. Afin de faci­li­ter davan­ta­ge les éch­an­ges, et con­sci­en­te du fait que les chaî­nes d’ap­pro­vi­si­on­ne­ment des pro­duits numé­ri­ques sont mon­dia­les, l’U­ni­on peut con­clu­re des accords de recon­nais­sance mutu­el­le en matiè­re d’éva­lua­ti­on de la con­for­mi­té pour les pro­duits cou­verts par le pré­sent règle­ment, con­for­mé­ment à l’ar­tic­le 218 du TFUE. Il est éga­le­ment important de coopé­rer avec les pays par­ten­aires afin de ren­forcer la capa­ci­té de défen­se mon­dia­le cont­re les cyberat­ta­ques, car cela con­tri­buera à long ter­me au ren­force­ment du cad­re de cyber­sé­cu­ri­té, tant à l’in­té­ri­eur qu’à l’ex­té­ri­eur de l’Union.
(124) Les con­som­ma­teurs dev­rai­ent pou­voir fai­re valoir leurs droits en ce qui con­cer­ne les obli­ga­ti­ons impo­sées aux opé­ra­teurs éco­no­mi­ques en ver­tu du pré­sent règle­ment par le biais d’ac­tions coll­ec­ti­ves con­for­mé­ment à la direc­ti­ve (UE) 2020/1828 du Par­le­ment euro­pé­en et du Con­seil (33). À cet­te fin, il con­vi­ent que le pré­sent règle­ment pré­voie que la direc­ti­ve (UE) 2020/1828 s’ap­pli­que aux actions coll­ec­ti­ves inten­tées pour des infrac­tions au pré­sent règle­ment qui portent att­ein­te ou sont sus­cep­ti­bles de por­ter att­ein­te aux inté­rêts coll­ec­tifs des con­som­ma­teurs. Il con­vi­ent donc de modi­fier l’an­ne­xe I de ladi­te direc­ti­ve en con­sé­quence. Il incom­be aux États mem­bres de veil­ler à ce que ces modi­fi­ca­ti­ons se reflè­tent dans les mesu­res de trans­po­si­ti­on qu’ils adoptent con­for­mé­ment à ladi­te direc­ti­ve, bien que l’ad­op­ti­on de mesu­res natio­na­les de trans­po­si­ti­on à cet effet ne soit pas une con­di­ti­on pré­alable à l’ap­pli­ca­ti­on de la direc­ti­ve à ces actions coll­ec­ti­ves. Ladi­te direc­ti­ve dev­rait s’ap­pli­quer, à comp­ter du 11 décembre 2027, aux actions coll­ec­ti­ves inten­tées pour des infrac­tions aux dis­po­si­ti­ons du pré­sent règle­ment com­mi­ses par des opé­ra­teurs éco­no­mi­ques qui portent att­ein­te ou sont sus­cep­ti­bles de por­ter att­ein­te aux inté­rêts coll­ec­tifs des consommateurs.
(125) La Com­mis­si­on dev­rait éva­luer et réex­ami­ner régu­liè­re­ment le pré­sent règle­ment, en con­sul­ta­ti­on avec les par­ties pren­an­tes con­cer­nées, notam­ment pour déter­mi­ner s’il con­vi­ent de l’ad­ap­ter à l’é­vo­lu­ti­on des con­di­ti­ons socia­les, poli­ti­ques ou tech­ni­ques, ou à l’é­vo­lu­ti­on des con­di­ti­ons du mar­ché. Le pré­sent règle­ment faci­li­te le respect des obli­ga­ti­ons en matiè­re de sûre­té de la chaî­ne d’ap­pro­vi­si­on­ne­ment par les enti­tés rele­vant du champ d’ap­pli­ca­ti­on du règle­ment (UE) 2022/2554 et de la direc­ti­ve (UE) 2022/2555 qui uti­li­sent des pro­duits con­tenant des élé­ments numé­ri­ques. Dans le cad­re de ce réex­amen péri­odi­que, la Com­mis­si­on dev­rait éva­luer l’im­pact com­bi­né du cad­re de cyber­sé­cu­ri­té de l’Union.
(126) Il con­vi­ent d’ac­cor­der aux opé­ra­teurs éco­no­mi­ques un délai suf­fi­sant pour s’ad­ap­ter aux exi­gen­ces fixées par le pré­sent règle­ment. Le pré­sent règle­ment dev­rait s’ap­pli­quer à comp­ter du 11 décembre 2027, à l’ex­cep­ti­on des obli­ga­ti­ons de noti­fi­ca­ti­on des vul­né­ra­bi­li­tés acti­ve­ment exploi­tées et des inci­dents de sécu­ri­té gra­ves affec­tant la sécu­ri­té des pro­duits con­tenant des élé­ments numé­ri­ques, qui dev­rai­ent s’ap­pli­quer à comp­ter du 11 sep­tembre 2026, et des dis­po­si­ti­ons rela­ti­ves à la noti­fi­ca­ti­on des orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té, qui dev­rai­ent s’ap­pli­quer à comp­ter du 11 juin 2026.
(127) Il est important d’ai­der les micro, peti­tes et moy­ennes ent­re­pri­ses, y com­pris les jeu­nes pous­ses, à mett­re en œuvre le pré­sent règle­ment, à rédui­re au mini­mum les ris­ques de mise en œuvre liés au man­que de con­nais­sances et d’ex­per­ti­se sur le mar­ché et à aider les fab­ri­cants à respec­ter les obli­ga­ti­ons qui leur incom­bent en ver­tu du pré­sent règle­ment. Le pro­gram­me “Euro­pe numé­ri­que” et d’aut­res pro­gram­mes per­tin­ents de l’U­ni­on four­nis­sent une assi­stance finan­ciè­re et tech­ni­que qui per­met à ces ent­re­pri­ses de con­tri­buer à la crois­sance de l’é­co­no­mie de l’U­ni­on et au ren­force­ment du niveau com­mun de cyber­sé­cu­ri­té dans l’U­ni­on. Le Cent­re euro­pé­en d’ex­cel­lence pour la recher­che en cyber­sé­cu­ri­té et les cen­tres nati­on­aux de coor­di­na­ti­on, ain­si que les cen­tres euro­pé­ens d’in­no­va­ti­on numé­ri­que cré­és par la Com­mis­si­on et les États mem­bres au niveau de l’U­ni­on ou au niveau natio­nal, pour­rai­ent éga­le­ment sou­te­nir les ent­re­pri­ses et les orga­nis­mes du sec­teur public et con­tri­buer à la mise en œuvre du pré­sent règle­ment. Dans le cad­re de leurs tâches et com­pé­ten­ces respec­ti­ves, ils pour­rai­ent four­nir une assi­stance tech­ni­que et sci­en­ti­fi­que aux micro, peti­tes et moy­ennes ent­re­pri­ses, par exemp­le pour les acti­vi­tés d’es­sai et d’éva­lua­ti­on de la con­for­mi­té par des tiers. Ils pour­rai­ent éga­le­ment encou­ra­ger l’uti­li­sa­ti­on d’ou­tils desti­nés à faci­li­ter la mise en œuvre du pré­sent règlement.
(128) En out­re, les États mem­bres dev­rai­ent envi­sa­ger de prend­re des mesu­res com­plé­men­tai­res visa­nt à four­nir des ori­en­ta­ti­ons et un sou­ti­en aux micro, peti­tes et moy­ennes ent­re­pri­ses, notam­ment par la mise en place de labo­ra­toires réels et de canaux de com­mu­ni­ca­ti­on ciblés. Afin de ren­forcer le niveau de cyber­sé­cu­ri­té dans l’U­ni­on, les États mem­bres peu­vent éga­le­ment envi­sa­ger de sou­te­nir le déve­lo­p­pe­ment des capa­ci­tés et des com­pé­ten­ces en matiè­re de cyber­sé­cu­ri­té des pro­duits con­tenant des élé­ments numé­ri­ques, d’a­mé­lio­rer la capa­ci­té des acteurs éco­no­mi­ques à se défend­re cont­re les cyberat­ta­ques, en par­ti­cu­lier lorsqu’il s’a­git de microentre­pri­ses et de peti­tes et moy­ennes ent­re­pri­ses, et de sen­si­bi­li­ser le public à la cyber­sé­cu­ri­té des pro­duits con­tenant des élé­ments numériques.
(129) Étant don­né que l’ob­jec­tif du pré­sent règle­ment ne peut pas être réa­li­sé de maniè­re suf­fi­san­te par les États mem­bres, mais peut l’êt­re mieux, en rai­son des effets de l’ac­tion, au niveau de l’U­ni­on, cel­le-ci peut prend­re des mesu­res, con­for­mé­ment au prin­ci­pe de sub­si­dia­ri­té con­sacré à l’ar­tic­le 5 du trai­té sur l’U­ni­on euro­pé­en­ne. Con­for­mé­ment au prin­ci­pe de pro­por­ti­on­na­li­té tel qu’é­non­cé audit artic­le, le pré­sent règle­ment n’excè­de pas ce qui est néces­saire pour att­eind­re cet objectif.
(130) Le Con­trô­leur euro­pé­en de la pro­tec­tion des don­nées a été con­sul­té con­for­mé­ment à l’ar­tic­le 42, para­gra­phe 1, du règle­ment (UE) 2018/1725 du Par­le­ment euro­pé­en et du Con­seil (34) et a ren­du un avis le 9 novembre 2022 (35).

Cha­pit­re I Dis­po­si­ti­ons générales 

Artic­le pre­mier Objet
Le pré­sent règle­ment éta­blit ce qui suit :
a) des règles rela­ti­ves à la mise à dis­po­si­ti­on sur le mar­ché de pro­duits con­tenant des élé­ments numé­ri­ques, afin de garan­tir la cyber­sé­cu­ri­té de ces produits ;
b) les exi­gen­ces de base en matiè­re de cyber­sé­cu­ri­té appli­ca­bles à la con­cep­ti­on, au déve­lo­p­pe­ment et à la fab­ri­ca­ti­on de pro­duits con­tenant des élé­ments numé­ri­ques, ain­si que les obli­ga­ti­ons des opé­ra­teurs éco­no­mi­ques con­cer­nant ces pro­duits en matiè­re de cybersécurité ;
c) des exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té con­cer­nant les pro­cé­du­res de trai­te­ment des vul­né­ra­bi­li­tés éta­b­lies par les fab­ri­cants afin de garan­tir la cyber­sé­cu­ri­té des pro­duits con­tenant des élé­ments numé­ri­ques pen­dant la durée de vie pré­vue des pro­duits, ain­si que les obli­ga­ti­ons des opé­ra­teurs éco­no­mi­ques con­cer­nant ces procédures ;
d) les dis­po­si­ti­ons rela­ti­ves à la sur­veil­lan­ce du mar­ché, y com­pris le con­trô­le, et à l’ap­pli­ca­ti­on des règles et des exi­gen­ces visées au pré­sent article.
Artic­le 2 Champ d’application
(1) Le pré­sent règle­ment s’ap­pli­que aux pro­duits mis à dis­po­si­ti­on sur le mar­ché qui com­portent des élé­ments numé­ri­ques dont la desti­na­ti­on ou l’uti­li­sa­ti­on rai­sonnablem­ent pré­vi­si­ble impli­que une con­ne­xi­on de don­nées logi­que ou phy­si­que, direc­te ou indi­rec­te, avec un équi­pe­ment ou un réseau.
(2) Le pré­sent règle­ment ne s’ap­pli­que pas aux pro­duits con­tenant des élé­ments numé­ri­ques aux­quels s’ap­pli­quent les actes légis­la­tifs de l’U­ni­on suivants :
a) Règle­ment (UE) 2017/745,
b) Règle­ment (UE) 2017/746,
c) Règle­ment (UE) 2019/2144.
(3) Le pré­sent règle­ment ne s’ap­pli­que pas aux pro­duits con­tenant des élé­ments numé­ri­ques qui ont été cer­ti­fi­és con­for­mé­ment au règle­ment (UE) 2018/1139.
(4) Le pré­sent règle­ment ne s’ap­pli­que pas aux équi­pe­ments rele­vant du champ d’ap­pli­ca­ti­on de la direc­ti­ve 2014/90/UE du Par­le­ment euro­pé­en et du Con­seil (36).
(5) L’ap­pli­ca­ti­on du pré­sent règle­ment aux pro­duits con­tenant des élé­ments numé­ri­ques qui relè­vent d’u­ne aut­re légis­la­ti­on de l’U­ni­on com­portant des exi­gen­ces pour tout ou par­tie des ris­ques cou­verts par les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I peut être limi­tée ou exclue si
a) qu’u­ne tel­le limi­ta­ti­on ou exclu­si­on est com­pa­ti­ble avec le cad­re juri­di­que géné­ral appli­ca­ble à ces pro­duits ; et
b) les règles sec­to­ri­el­les per­met­tent d’att­eind­re le même niveau de pro­tec­tion que celui garan­ti par le pré­sent règle­ment ou un niveau plus élevé.
La Com­mis­si­on se voit con­fé­rer le pou­voir d’ad­op­ter des actes délé­gués, con­for­mé­ment à l’ar­tic­le 61, afin de com­plé­ter le pré­sent règle­ment en éta­blis­sant la néces­si­té d’u­ne tel­le rest­ric­tion ou exclu­si­on et en défi­nis­sant, le cas échéant, les pro­duits et règles con­cer­nés ain­si que la por­tée de la rest­ric­tion.
(6) Le pré­sent règle­ment ne s’ap­pli­que pas aux piè­ces de rech­an­ge mises à dis­po­si­ti­on sur le mar­ché pour rem­pla­cer des com­po­sants iden­ti­ques dans des pro­duits con­tenant des élé­ments numé­ri­ques et qui sont fab­ri­quées selon les mêmes spé­ci­fi­ca­ti­ons que les com­po­sants qu’el­les sont desti­nées à remplacer.
(7) Le pré­sent règle­ment ne s’ap­pli­que pas aux pro­duits com­portant des élé­ments numé­ri­ques con­çus ou modi­fi­és exclu­si­ve­ment à des fins de sécu­ri­té natio­na­le ou de défen­se, ni aux pro­duits spé­ci­fi­quement con­çus pour le trai­te­ment d’in­for­ma­ti­ons classifiées.
(8) Les obli­ga­ti­ons pré­vues par le pré­sent règle­ment n’in­clu­ent pas la four­ni­tu­re d’in­for­ma­ti­ons dont la divul­ga­ti­on serait con­trai­re aux inté­rêts essen­tiels des États mem­bres en matiè­re de sécu­ri­té natio­na­le, de sécu­ri­té publi­que ou de défense.
Artic­le 3 Définitions
Aux fins du pré­sent règle­ment, on entend par
1.“pro­duit con­tenant des élé­ments numé­ri­ques”, un pro­duit logi­ciel ou maté­ri­el et ses solu­ti­ons de trai­te­ment de don­nées à distance, y com­pris les com­po­sants logi­ciels ou maté­ri­els, mis sépa­ré­ment sur le marché ;
2.“trai­te­ment de don­nées à distance” : trai­te­ment de don­nées effec­tué à distance, pour lequel un logi­ciel est con­çu et déve­lo­p­pé par le fab­ri­cant lui-même ou sous sa responsa­bi­li­té, et sans lequel le pro­duit numé­ri­que ne pour­rait rem­plir l’u­ne de ses fonctions ;
3.“cyber­sé­cu­ri­té”, la cyber­sé­cu­ri­té tel­le que défi­nie à l’ar­tic­le 2, point 1, du règle­ment (UE) 2019/881 ;
4.“logi­ciel”, la par­tie d’un système d’in­for­ma­ti­on élec­tro­ni­que qui con­si­ste en un code informatique ;
5.“maté­ri­el”, un système d’in­for­ma­ti­on élec­tro­ni­que phy­si­que capa­ble de trai­ter, de stocker ou de trans­mett­re des don­nées numé­ri­ques, ou des par­ties d’un tel système ;
6.“com­po­sant”, un logi­ciel ou un maté­ri­el desti­né à être inté­g­ré dans un système d’in­for­ma­ti­on électronique ;
7.“système d’in­for­ma­ti­on élec­tro­ni­que”, tout système, y com­pris les équi­pe­ments élec­tri­ques ou élec­tro­ni­ques, capa­ble de trai­ter, de stocker ou de trans­mett­re des don­nées numériques ;
8.“con­ne­xi­on logi­que”, une repré­sen­ta­ti­on vir­tu­el­le d’u­ne con­ne­xi­on de don­nées éta­b­lie via une inter­face logicielle ;
9.“con­ne­xi­on phy­si­que”, une con­ne­xi­on ent­re des systè­mes d’in­for­ma­ti­on élec­tro­ni­ques ou des com­po­sants, éta­b­lie par des moy­ens phy­si­ques tels que des inter­faces élec­tri­ques, opti­ques ou méca­ni­ques, des fils ou des ondes radio ;
10.“con­ne­xi­on indi­rec­te”, une con­ne­xi­on à un dis­po­si­tif ou à un réseau qui n’est pas direc­te, mais qui fait par­tie d’un système plus vaste qui peut lui-même être con­nec­té direc­te­ment à ce dis­po­si­tif ou à ce réseau ;
11.“point ter­mi­nal”, un dis­po­si­tif con­nec­té à un réseau et ser­vant de point d’ac­cès à ce réseau ;
12.“opé­ra­teur éco­no­mi­que”, le fab­ri­cant, le man­da­tai­re, l’im­por­ta­teur, le dis­tri­bu­teur ou tou­te aut­re per­son­ne phy­si­que ou mora­le sou­mi­se à des obli­ga­ti­ons liées à la fab­ri­ca­ti­on de pro­duits numé­ri­ques ou à la mise à dis­po­si­ti­on sur le mar­ché de pro­duits numé­ri­ques con­for­mé­ment au pré­sent règlement ;
13.“fab­ri­cant”, tou­te per­son­ne phy­si­que ou mora­le qui con­çoit ou fab­ri­que des pro­duits inté­grant des élé­ments numé­ri­ques ou qui fait conce­voir, déve­lo­p­per ou fab­ri­quer des pro­duits inté­grant des élé­ments numé­ri­ques et les com­mer­cia­li­se sous son nom ou sa mar­que, que ce soit à tit­re oné­reux, à des fins de moné­ti­sa­ti­on ou à tit­re gratuit ;
14.“gesti­on­n­aire de logi­ciels à source ouver­te”, une per­son­ne mora­le, aut­re qu’un fab­ri­cant, qui a pour objet ou pour but de sou­te­nir sys­té­ma­ti­quement et dura­blem­ent le déve­lo­p­pe­ment de pro­duits spé­ci­fi­ques con­tenant des élé­ments numé­ri­ques con­sidé­rés com­me des logi­ciels libres et à source ouver­te et desti­nés à des acti­vi­tés com­mer­cia­les, et qui assu­re l’uti­li­té de ces produits ;
15.“man­da­tai­re” : tou­te per­son­ne phy­si­que ou mora­le rési­dant ou éta­b­lie dans l’U­ni­on ayant reçu man­dat écrit d’un fab­ri­cant pour agir en son nom aux fins de l’ac­com­plis­se­ment de tâches déterminées ;
16.“impor­ta­teur” : tou­te per­son­ne phy­si­que ou mora­le éta­b­lie ou rési­dant dans l’U­ni­on qui met sur le mar­ché de l’U­ni­on un pro­duit con­tenant des élé­ments numé­ri­ques sous le nom ou la mar­que d’u­ne per­son­ne phy­si­que ou mora­le éta­b­lie ou rési­dant en dehors de l’Union ;
17.“dis­tri­bu­teur” : tou­te per­son­ne phy­si­que ou mora­le faisant par­tie de la chaî­ne d’ap­pro­vi­si­on­ne­ment, aut­re que le fab­ri­cant ou l’im­por­ta­teur, qui met à dis­po­si­ti­on sur le mar­ché de l’U­ni­on un pro­duit con­tenant des élé­ments numé­ri­ques sans en modi­fier les caractéristiques
18.“con­som­ma­teur” : tou­te per­son­ne phy­si­que qui agit à des fins qui n’ent­rent pas dans le cad­re de son acti­vi­té com­mer­cia­le, indu­stri­el­le, artis­a­na­le ou libérale ;
19.“microentre­pri­se”, “peti­te ent­re­pri­se” et “moy­enne ent­re­pri­se” : respec­ti­ve­ment les microentre­pri­ses, les peti­tes ent­re­pri­ses et les moy­ennes ent­re­pri­ses tel­les que défi­nies à l’an­ne­xe de la recom­man­da­ti­on 2003/361/CE ;
20.“péri­ode d’as­si­stance” : la péri­ode pen­dant laquel­le le fab­ri­cant doit veil­ler à ce que les vul­né­ra­bi­li­tés du pro­duit con­tenant des élé­ments numé­ri­ques soi­ent trai­tées effi­ca­ce­ment et con­for­mé­ment aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie II ;
21.“mise sur le mar­ché” ou “mise en cir­cula­ti­on” : la pre­miè­re mise à dis­po­si­ti­on d’un pro­duit con­tenant des élé­ments numé­ri­ques sur le mar­ché de l’Union ;
22.“mise à dis­po­si­ti­on sur le mar­ché” : la four­ni­tu­re, à tit­re oné­reux ou gra­tuit, d’un pro­duit con­tenant des élé­ments numé­ri­ques en vue de sa dis­tri­bu­ti­on ou de son uti­li­sa­ti­on sur le mar­ché de l’U­ni­on dans le cad­re d’u­ne acti­vi­té commerciale ;
23.“desti­na­ti­on” : l’uti­li­sa­ti­on à laquel­le un pro­duit con­tenant des élé­ments numé­ri­ques est desti­né selon le fab­ri­cant, y com­pris les cir­con­stances et con­di­ti­ons d’uti­li­sa­ti­on par­ti­cu­liè­res, con­for­mé­ment aux indi­ca­ti­ons du fab­ri­cant dans le mode d’em­ploi, le maté­ri­el publi­ci­taire ou de ven­te et les décla­ra­ti­ons, ain­si que dans la docu­men­ta­ti­on technique ;
24.“uti­li­sa­ti­on rai­sonnablem­ent pré­vi­si­ble” : une uti­li­sa­ti­on qui n’est pas néces­saire­ment con­for­me à la desti­na­ti­on indi­quée par le fab­ri­cant dans le mode d’em­ploi, le maté­ri­el publi­ci­taire ou de ven­te et les décla­ra­ti­ons et la docu­men­ta­ti­on tech­ni­que, mais qui résul­te pro­ba­blem­ent d’un com­porte­ment humain rai­sonnablem­ent pré­vi­si­ble ou de phé­nomè­nes tech­ni­ques ou d’interactions ;
25.“mau­vai­se uti­li­sa­ti­on rai­sonnablem­ent pré­vi­si­ble” : l’uti­li­sa­ti­on d’un pro­duit con­tenant des élé­ments numé­ri­ques d’u­ne maniè­re non con­for­me à sa desti­na­ti­on, mais qui peut résul­ter d’un com­porte­ment humain rai­sonnablem­ent pré­vi­si­ble ou d’u­ne inter­ac­tion rai­sonnablem­ent pré­vi­si­ble avec d’aut­res systèmes ;
26.“auto­ri­té noti­fi­an­te” : l’au­to­ri­té natio­na­le char­gée d’é­ta­b­lir et de mett­re en œuvre les pro­cé­du­res néces­saires à l’éva­lua­ti­on, à la dési­gna­ti­on et à la noti­fi­ca­ti­on des orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té, ain­si qu’à leur contrôle ;
27.“éva­lua­ti­on de la con­for­mi­té”, la pro­cé­du­re per­met­tant de véri­fier que les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I sont respectées ;
28.“orga­nis­me d’éva­lua­ti­on de la con­for­mi­té” : un orga­nis­me d’éva­lua­ti­on de la con­for­mi­té au sens de l’ar­tic­le 2, point 13, du règle­ment (CE) no 765/2008.
29.“orga­nis­me noti­fié” : un orga­nis­me d’éva­lua­ti­on de la con­for­mi­té dési­gné con­for­mé­ment à l’ar­tic­le 43 du pré­sent règle­ment et à tou­te aut­re légis­la­ti­on d’har­mo­ni­sa­ti­on per­ti­nen­te de l’Union ;
30.“modi­fi­ca­ti­on sub­stan­ti­el­le” : tou­te modi­fi­ca­ti­on appor­tée au pro­duit con­tenant des élé­ments numé­ri­ques après sa mise sur le mar­ché, qui a une inci­dence sur la con­for­mi­té du pro­duit aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie I, ou qui ent­raî­ne un chan­ge­ment de l’u­sa­ge pré­vu pour lequel le pro­duit a été testé ;
31.“mar­quage “CE””, un mar­quage par lequel un fab­ri­cant décla­re qu’un pro­duit con­tenant des élé­ments numé­ri­ques et les pro­cé­du­res éta­b­lies par le fab­ri­cant sont con­for­mes aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I et aux aut­res dis­po­si­ti­ons légis­la­ti­ves d’har­mo­ni­sa­ti­on de l’U­ni­on appli­ca­bles en matiè­re d’ap­po­si­ti­on de celles-ci
32.“légis­la­ti­on d’har­mo­ni­sa­ti­on de l’U­ni­on”, la légis­la­ti­on de l’U­ni­on énu­mé­rée à l’an­ne­xe I du règle­ment (UE) 2019/1020 et tou­te aut­re légis­la­ti­on de l’U­ni­on visa­nt à har­mo­ni­s­er les con­di­ti­ons de com­mer­cia­li­sa­ti­on des pro­duits aux­quels ledit règle­ment s’applique ;
33.“auto­ri­té de sur­veil­lan­ce du mar­ché”, une auto­ri­té de sur­veil­lan­ce du mar­ché tel­le que défi­nie à l’ar­tic­le 3, point 4, du règle­ment (UE) 2019/1020 ;
34.“nor­me inter­na­tio­na­le”, une nor­me inter­na­tio­na­le tel­le que défi­nie à l’ar­tic­le 2, para­gra­phe 1, point a), du règle­ment (UE) n° 1025/2012 ;
35.“nor­me euro­pé­en­ne”, une nor­me euro­pé­en­ne tel­le que défi­nie à l’ar­tic­le 2, point 1) b), du règle­ment (UE) no 1025/2012 ;
36.“nor­me har­mo­ni­sée”, une nor­me har­mo­ni­sée tel­le que défi­nie à l’ar­tic­le 2, point 1) c), du règle­ment (UE) n° 1025/2012 ;
37.“ris­que de cyber­sé­cu­ri­té”, le poten­tiel de per­te ou de per­tur­ba­ti­on causé par un inci­dent de sécu­ri­té, expri­mé com­me une com­bi­nai­son de l’am­pleur de cet­te per­te ou de cet­te per­tur­ba­ti­on et de la pro­ba­bi­li­té que l’in­ci­dent de sécu­ri­té se produise ;
38.“ris­que important de cyber­sé­cu­ri­té”, un ris­que de cyber­sé­cu­ri­té qui, en rai­son de ses carac­té­ri­sti­ques tech­ni­ques, est sus­cep­ti­ble de pro­vo­quer un inci­dent de sécu­ri­té ayant des con­sé­quen­ces néga­ti­ves gra­ves et pou­vant ent­raî­ner des per­tes maté­ri­el­les ou imma­té­ri­el­les importan­tes ou des perturbations ;
39.“nomen­cla­tu­re logi­ciel­le”, un enre­gi­stre­ment for­mel des détails et des rela­ti­ons de la chaî­ne d’ap­pro­vi­si­on­ne­ment des com­po­sants inclus dans les élé­ments logi­ciels d’un pro­duit con­tenant des élé­ments numériques ;
40.“vul­né­ra­bi­li­té” : une fai­bles­se, une vul­né­ra­bi­li­té ou un dys­fonc­tion­ne­ment d’un pro­duit con­tenant des élé­ments numé­ri­ques, qui peut être exploi­té en cas de cybermenace ;
41.“vul­né­ra­bi­li­té explo­ita­ble”, une vul­né­ra­bi­li­té qui peut être effec­ti­ve­ment exploi­tée par un tiers non auto­ri­sé dans des con­di­ti­ons pra­ti­ques d’exploitation ;
42.“vul­né­ra­bi­li­té acti­ve­ment exploi­tée”, une vul­né­ra­bi­li­té pour laquel­le il exi­ste des preu­ves fia­bles qu’un acteur mal­veil­lant l’a exploi­tée dans un système sans le con­sen­te­ment du pro­prié­tai­re du système ;
43.“inci­dent de sécu­ri­té”, un inci­dent de sécu­ri­té tel que défi­ni à l’ar­tic­le 6, point 6), de la direc­ti­ve (UE) 2022/2555 ;
44.“inci­dent de sécu­ri­té affec­tant la sécu­ri­té du pro­duit numé­ri­que”, un inci­dent de sécu­ri­té qui a ou peut avoir un effet néga­tif sur la capa­ci­té d’un pro­duit numé­ri­que à pro­té­ger la dis­po­ni­bi­li­té, l’au­then­ti­ci­té, l’in­té­gri­té ou la con­fi­den­tia­li­té des don­nées ou des fonctions ;
45.“qua­si-inci­dent”, un qua­si-inci­dent tel que défi­ni à l’ar­tic­le 6, point 5, de la direc­ti­ve (UE) 2022/2555 ;
46.“cyber­men­ace”, une cyber­men­ace tel­le que défi­nie à l’ar­tic­le 2, point 8), du règle­ment (UE) 2019/881 ;
47.“don­nées à carac­tère per­son­nel”, les don­nées à carac­tère per­son­nel tel­les que défi­nies à l’ar­tic­le 4, point 1, du règle­ment (UE) 2016/679 ;
48.“logi­ciel lib­re et à code source ouvert”, un logi­ciel dont le code source est par­ta­gé de maniè­re ouver­te et qui est mis à dis­po­si­ti­on dans le cad­re d’u­ne licence gra­tuite à code source ouvert pré­voyant tous les droits néces­saires pour le rend­re libre­ment acce­s­si­ble, uti­li­sable, modi­fia­ble et redistribuable ;
49.“rap­pel”, un rap­pel tel que défi­ni à l’ar­tic­le 3, point 22, du règle­ment (UE) 2019/1020 ;
50.“retrait du mar­ché” : un retrait du mar­ché tel que défi­ni à l’ar­tic­le 3, point 23, du règle­ment (UE) 2019/1020 ;
51.“CSIRT dési­gné com­me coor­don­na­teur”, un CSIRT dési­gné com­me coor­don­na­teur con­for­mé­ment à l’ar­tic­le 12, para­gra­phe 1, de la direc­ti­ve (UE) 2022/2555.
Artic­le 4 Lib­re circulation
(1) Pour les aspects cou­verts par le pré­sent règle­ment, les États mem­bres n’en­tra­vent pas la mise à dis­po­si­ti­on sur le mar­ché de pro­duits con­tenant des élé­ments numé­ri­ques con­for­mes au pré­sent règlement.
(2) Les États mem­bres n’empêchent pas la pré­sen­ta­ti­on ou l’uti­li­sa­ti­on d’un pro­duit con­tenant des élé­ments numé­ri­ques qui ne sont pas con­for­mes au pré­sent règle­ment lors de foi­res com­mer­cia­les, d’ex­po­si­ti­ons, de démon­stra­ti­ons ou d’é­vé­ne­ments simi­lai­res, y com­pris les pro­to­ty­pes, à con­di­ti­on que le pro­duit por­te une mar­que visi­ble indi­quant clai­re­ment qu’il n’est pas con­for­me au pré­sent règle­ment et qu’il ne peut pas être mis à dis­po­si­ti­on sur le mar­ché tant qu’il ne l’a pas été.
(3) Les États mem­bres n’empêchent pas la mise à dis­po­si­ti­on sur le mar­ché de logi­ciels non fina­li­sés qui ne sont pas con­for­mes au pré­sent règle­ment, à con­di­ti­on que ces logi­ciels ne soi­ent mis à dis­po­si­ti­on que pour une durée limi­tée, néces­saire aux essais, et qu’ils indi­quent clai­re­ment, par un mar­quage visi­ble, qu’ils ne sont pas con­for­mes au pré­sent règle­ment et qu’ils ne seront pas dis­po­ni­bles sur le mar­ché, sauf à des fins d’essai.
(4) Le para­gra­phe 3 ne s’ap­pli­que pas aux com­po­sants de sécu­ri­té visés par la légis­la­ti­on d’har­mo­ni­sa­ti­on de l’U­ni­on aut­re que le pré­sent règlement.
Artic­le 5 Achat ou uti­li­sa­ti­on de pro­duits con­tenant des élé­ments numériques
(1) Le pré­sent règle­ment n’empêche pas les États mem­bres de sou­mett­re les pro­duits con­tenant des élé­ments numé­ri­ques à des exi­gen­ces de cyber­sé­cu­ri­té sup­p­lé­men­tai­res lors de l’ac­qui­si­ti­on ou de l’uti­li­sa­ti­on de ces pro­duits à des fins spé­ci­fi­ques, même si ces pro­duits sont acquis ou uti­li­sés à des fins de sécu­ri­té ou de défen­se natio­na­les, à con­di­ti­on que ces exi­gen­ces soi­ent con­for­mes aux obli­ga­ti­ons des États mem­bres pré­vues par le droit de l’U­ni­on et qu’el­les soi­ent néces­saires et pro­por­ti­onnées à la réa­li­sa­ti­on de ces objectifs.
(2) Sans pré­ju­di­ce des direc­ti­ves 2014/24/UE et 2014/25/UE, lorsqu’ils se pro­cu­rent des pro­duits con­tenant des élé­ments numé­ri­ques rele­vant du champ d’ap­pli­ca­ti­on du pré­sent règle­ment, les États mem­bres veil­lent à ce que la con­for­mi­té aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I du pré­sent règle­ment, y com­pris la capa­ci­té des fab­ri­cants à gérer effi­ca­ce­ment les vul­né­ra­bi­li­tés, soit pri­se en comp­te dans la pro­cé­du­re de pas­sa­ti­on de marché.
Artic­le 6 Exi­gen­ces appli­ca­bles aux pro­duits con­tenant des élé­ments numériques
Les pro­duits con­tenant des élé­ments numé­ri­ques ne sont mis à dis­po­si­ti­on sur le mar­ché que si
a) ils satis­font aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie I, et à con­di­ti­on qu’ils soi­ent cor­rec­te­ment instal­lés, entre­te­nus et uti­li­sés con­for­mé­ment à leur desti­na­ti­on ou dans des cir­con­stances rai­sonnablem­ent pré­vi­si­bles et, le cas échéant, que les mises à jour de sécu­ri­té néces­saires aient été instal­lées ; et
b) les pro­cé­du­res éta­b­lies par le fab­ri­cant sont con­for­mes aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie II.
Artic­le 7 Prin­ci­paux pro­duits con­tenant des élé­ments numériques
(1) Les pro­duits inté­grant des élé­ments numé­ri­ques qui assu­rent les fonc­tions essen­ti­el­les d’u­ne caté­go­rie de pro­duits figu­rant à l’an­ne­xe III sont con­sidé­rés com­me des pro­duits inté­grant des élé­ments numé­ri­ques importants et sont sou­mis aux pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té visées à l’ar­tic­le 32, para­gra­phes 2 et 3. L’in­té­gra­ti­on d’un pro­duit doté d’é­lé­ments numé­ri­ques qui pré­sen­te les fonc­tion­na­li­tés essen­ti­el­les d’u­ne caté­go­rie de pro­duits énu­mé­rée à l’an­ne­xe III n’en­traî­ne pas, en soi, la sou­mis­si­on du pro­duit auquel il est inté­g­ré aux pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té visées à l’ar­tic­le 32, para­gra­phes 2 et 3.
(2) Les caté­go­ries de dis­po­si­tifs con­tenant des élé­ments numé­ri­ques visées au para­gra­phe 1 du pré­sent artic­le, qui sont répar­ties en clas­ses I et II con­for­mé­ment à l’an­ne­xe III, satis­font à au moins un des critères suivants :
a) Le pro­duit con­tenant des élé­ments numé­ri­ques rem­plit prin­ci­pa­le­ment des fonc­tions essen­ti­el­les à la cyber­sé­cu­ri­té d’aut­res pro­duits, réseaux ou ser­vices, notam­ment la sécu­ri­sa­ti­on de l’au­then­ti­fi­ca­ti­on et de l’ac­cès, la pré­ven­ti­on et la détec­tion des intru­si­ons, la sécu­ri­té des points finaux ou la pro­tec­tion du réseau ;
b) le pro­duit con­tenant des élé­ments numé­ri­ques rem­plit une fonc­tion qui ent­raî­ne un ris­que important d’ef­fets néga­tifs en ter­mes d’in­ten­si­té et de capa­ci­té à per­tur­ber, con­trô­ler ou endom­ma­ger un grand nombre d’aut­res pro­duits ou la san­té, la sécu­ri­té ou la sûre­té de ses uti­li­sa­teurs par une mani­pu­la­ti­on direc­te, tel­le qu’u­ne fonc­tion cen­tra­le du système, y com­pris la gesti­on du réseau, le con­trô­le de la con­fi­gu­ra­ti­on, la vir­tua­li­sa­ti­on ou le trai­te­ment de don­nées à carac­tère personnel.
(3) La Com­mis­si­on se voit con­fé­rer le pou­voir d’ad­op­ter des actes délé­gués, con­for­mé­ment à l’ar­tic­le 61, en ce qui con­cer­ne la modi­fi­ca­ti­on de l’an­ne­xe III afin d’a­jou­ter une nou­vel­le caté­go­rie à la liste et d’en pré­cis­er la défi­ni­ti­on, de dépla­cer une caté­go­rie de pro­duits d’u­ne clas­se à une aut­re ou de sup­p­ri­mer une caté­go­rie exi­stan­te de cet­te liste, à l’in­té­ri­eur de chaque clas­se de caté­go­ries de pro­duits con­tenant des élé­ments numé­ri­ques. Lorsqu’el­le éva­lue la néces­si­té de modi­fier la liste figu­rant à l’an­ne­xe III, la Com­mis­si­on tient comp­te des fonc­tions liées à la cyber­sé­cu­ri­té ou de la fonc­tion et du niveau de ris­que de cyber­sé­cu­ri­té posés par les pro­duits con­tenant des élé­ments numé­ri­ques, con­for­mé­ment aux critères énon­cés au para­gra­phe 2 du pré­sent article.
Les actes délé­gués visés au pre­mier ali­néa pré­voi­ent, le cas échéant, une péri­ode de tran­si­ti­on d’au moins dou­ze mois, notam­ment lorsqu’u­ne nou­vel­le caté­go­rie de dis­po­si­tifs importants con­tenant des élé­ments numé­ri­ques de clas­se I ou II, tels que défi­nis à l’an­ne­xe III, est ajou­tée ou trans­fé­rée de la clas­se I à la clas­se II avant l’ap­pli­ca­ti­on des pro­cé­du­res per­ti­nen­tes d’éva­lua­ti­on de la con­for­mi­té visées à l’ar­tic­le 32, para­gra­phes 2 et 3, à moins qu’u­ne péri­ode de tran­si­ti­on plus cour­te ne soit justi­fi­ée par des rai­sons d’ur­gence impé­rieu­ses.
(4) Au plus tard le 11 décembre 2025, la Com­mis­si­on adop­te un acte d’exé­cu­ti­on éta­blis­sant la descrip­ti­on tech­ni­que des caté­go­ries de dis­po­si­tifs inté­grant des élé­ments numé­ri­ques appar­tenant aux clas­ses I et II con­for­mé­ment à l’an­ne­xe III et la descrip­ti­on tech­ni­que des caté­go­ries de dis­po­si­tifs inté­grant des élé­ments numé­ri­ques con­for­mé­ment à l’an­ne­xe IV. Cet acte d’exé­cu­ti­on est adop­té con­for­mé­ment à la pro­cé­du­re d’ex­amen visée à l’ar­tic­le 62, para­gra­phe 2.
Artic­le 8 Pro­duits cri­ti­ques con­tenant des élé­ments numériques
(1) La Com­mis­si­on se voit con­fé­rer le pou­voir d’ad­op­ter des actes délé­gués, con­for­mé­ment à l’ar­tic­le 61, afin de com­plé­ter le pré­sent règle­ment, en vue de déter­mi­ner les pro­duits con­tenant des élé­ments numé­ri­ques qui pré­sen­tent les fonc­tions essen­ti­el­les d’u­ne caté­go­rie de pro­duits énu­mé­rée à l’an­ne­xe IV du pré­sent règle­ment qui doi­vent obte­nir un cer­ti­fi­cat euro­pé­en de cyber­sé­cu­ri­té d’un niveau de con­fi­ance au moins “moy­en” dans le cad­re d’un sché­ma euro­pé­en de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té adop­té con­for­mé­ment au règle­ment (UE) 2019/881, pour démon­trer la con­for­mi­té aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I du pré­sent règle­ment ou à des par­ties de cel­les-ci, pour autant qu’un sché­ma euro­pé­en de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té pour ces caté­go­ries de pro­duits con­tenant des élé­ments numé­ri­ques ait été adop­té con­for­mé­ment au règle­ment (UE) 2019/881 et soit à la dis­po­si­ti­on des fab­ri­cants. Ces actes délé­gués défi­nis­sent le niveau de con­fi­ance requis, qui doit être pro­por­ti­on­nel au niveau de ris­que de cyber­sé­cu­ri­té asso­cié aux pro­duits con­tenant des élé­ments numé­ri­ques et tenir comp­te de leur fina­li­té, y com­pris la dépen­dance cri­tique à leur égard de la part d’en­ti­tés essen­ti­el­les, con­for­mé­ment à l’ar­tic­le 3, para­gra­phe 1, de la direc­ti­ve (UE) 2022/2555.
Avant d’ad­op­ter ces actes délé­gués, la Com­mis­si­on procè­de à une éva­lua­ti­on de l’in­ci­dence poten­ti­el­le des mesu­res envi­sa­gées sur le mar­ché et con­sul­te les par­ties pren­an­tes con­cer­nées, y com­pris le grou­pe euro­pé­en sur la cer­ti­fi­ca­ti­on en matiè­re de cyber­sé­cu­ri­té insti­tué par le règle­ment (UE) 2019/881. L’éva­lua­ti­on tient comp­te de l’é­tat de pré­pa­ra­ti­on et de la capa­ci­té des États mem­bres à mett­re en œuvre le sché­ma euro­pé­en per­ti­nent de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té. En l’ab­sence d’ac­tes délé­gués visés au pre­mier ali­néa, les pro­duits inté­grant des élé­ments numé­ri­ques qui pré­sen­tent des fonc­tions essen­ti­el­les d’u­ne caté­go­rie de pro­duits visée à l’an­ne­xe IV sont sou­mis aux pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té visées à l’ar­tic­le 32, para­gra­phe 3. Les actes délé­gués visés au pre­mier ali­néa pré­voi­ent une péri­ode de tran­si­ti­on d’au moins six mois, à moins qu’u­ne péri­ode de tran­si­ti­on plus cour­te ne soit justi­fi­ée par des rai­sons d’ur­gence impé­rieu­ses.
(2) La Com­mis­si­on se voit con­fé­rer le pou­voir d’ad­op­ter des actes délé­gués, con­for­mé­ment à l’ar­tic­le 61, aux fins de la modi­fi­ca­ti­on de l’an­ne­xe IV en vue d’a­jou­ter ou de sup­p­ri­mer des caté­go­ries de pro­duits cri­ti­ques con­tenant des élé­ments numé­ri­ques. Lorsqu’el­le éta­blit ces caté­go­ries de pro­duits cri­ti­ques con­tenant des élé­ments numé­ri­ques et le niveau de con­fi­ance requis con­for­mé­ment au para­gra­phe 1, la Com­mis­si­on tient comp­te des critères visés à l’ar­tic­le 7, para­gra­phe 2, et veil­le à ce que la caté­go­rie de pro­duits con­tenant des élé­ments numé­ri­ques répon­de à au moins un des critères suivants :
a) Il exi­ste une dépen­dance cri­tique des dis­po­si­tifs essen­tiels visés à l’ar­tic­le 3 de la direc­ti­ve (UE) 2022/2555 à l’é­gard de la caté­go­rie des pro­duits con­tenant des élé­ments numériques ;
b) Les inci­dents de sécu­ri­té et les vul­né­ra­bi­li­tés exploi­tées con­cer­nant la caté­go­rie des pro­duits con­tenant des élé­ments numé­ri­ques pour­rai­ent ent­raî­ner de gra­ves per­tur­ba­ti­ons des chaî­nes d’ap­pro­vi­si­on­ne­ment cri­ti­ques dans l’en­sem­ble du mar­ché intérieur.
Avant d’ad­op­ter ces actes délé­gués, la Com­mis­si­on procè­de à une éva­lua­ti­on du type visé au para­gra­phe 1. Les actes délé­gués visés au pre­mier ali­néa pré­voi­ent une péri­ode de tran­si­ti­on d’au moins six mois, à moins qu’u­ne péri­ode de tran­si­ti­on plus cour­te ne soit justi­fi­ée par des rai­sons d’ur­gence impérieuses. 
Artic­le 9 Con­sul­ta­ti­on des par­ties prenantes
(1) Lorsqu’el­le prépa­re les mesu­res d’ap­pli­ca­ti­on du pré­sent règle­ment, la Com­mis­si­on con­sul­te les par­ties pren­an­tes con­cer­nées, tel­les que les auto­ri­tés com­pé­ten­tes des États mem­bres, les ent­re­pri­ses du sec­teur pri­vé, y com­pris les micro, peti­tes et moy­ennes ent­re­pri­ses, la com­mun­au­té des logi­ciels à source ouver­te, les asso­cia­ti­ons de con­som­ma­teurs, les uni­ver­si­tés et les agen­ces et orga­nes com­pé­tents de l’U­ni­on, ain­si que les grou­pes d’ex­perts cré­és au niveau de l’U­ni­on, et tient comp­te de leur avis. En par­ti­cu­lier, la Com­mis­si­on con­sul­te ces par­ties pren­an­tes et recu­eil­le leur avis, le cas échéant, de la maniè­re struc­tu­rée sui­van­te, dans les cas suivants :
a) lors de l’é­la­bo­ra­ti­on des lignes direc­tri­ces visées à l’ar­tic­le 26 ;
b) sans pré­ju­di­ce de l’ar­tic­le 61, lors de l’é­la­bo­ra­ti­on des descrip­ti­ons tech­ni­ques des caté­go­ries de pro­duits énu­mé­rées à l’an­ne­xe III, con­for­mé­ment à l’ar­tic­le 7, para­gra­phe 4, lors de l’éva­lua­ti­on de la néces­si­té de mett­re à jour la liste des caté­go­ries de pro­duits, con­for­mé­ment à l’ar­tic­le 7, para­gra­phe 3, et à l’ar­tic­le 8, para­gra­phe 2, ou lors de la réa­li­sa­ti­on de l’éva­lua­ti­on de l’im­pact poten­tiel sur le mar­ché, con­for­mé­ment à l’ar­tic­le 8, para­gra­phe 1 ;
c) dans la réa­li­sa­ti­on des travaux pré­pa­ra­toires à l’éva­lua­ti­on et au réex­amen du pré­sent règlement.
(2) La Com­mis­si­on orga­ni­se régu­liè­re­ment, au moins une fois par an, des réuni­ons de con­sul­ta­ti­on et d’in­for­ma­ti­on afin de recu­eil­lir le point de vue des par­ties inté­res­sées visées au para­gra­phe 1 sur la mise en œuvre du pré­sent règlement.
Artic­le 10 Ren­force­ment des com­pé­ten­ces dans un envi­ron­ne­ment numé­ri­que doté de capa­ci­tés de cyberdéfense
Aux fins du pré­sent règle­ment et afin de répond­re aux beso­ins des pro­fes­si­on­nels en matiè­re d’ai­de à la mise en œuvre du pré­sent règle­ment, les États mem­bres, avec l’ai­de, le cas échéant, de la Com­mis­si­on, du Cent­re euro­pé­en d’ex­per­ti­se en cyber­sé­cu­ri­té et de l’E­NISA, dans le plein respect des responsa­bi­li­tés des États mem­bres en matiè­re d’é­du­ca­ti­on, encou­r­agent les actions et les poli­ti­ques visa­nt à 
a) déve­lo­p­per les com­pé­ten­ces en matiè­re de cyber­sé­cu­ri­té et mett­re en place des outils orga­ni­sa­ti­on­nels et tech­no­lo­gi­ques afin de garan­tir une dis­po­ni­bi­li­té suf­fi­san­te de pro­fes­si­on­nels qua­li­fi­és pour sou­te­nir les acti­vi­tés des auto­ri­tés de sur­veil­lan­ce du mar­ché et des orga­nis­mes d’éva­lua­ti­on de la conformité ;
b) ren­forcer la coopé­ra­ti­on ent­re le sec­teur pri­vé et les acteurs éco­no­mi­ques, notam­ment par le recy­cla­ge ou la for­ma­ti­on des employés des fab­ri­cants, des con­som­ma­teurs, des éta­blis­se­ments de for­ma­ti­on et des admi­ni­stra­ti­ons publi­ques, afin d’offrir aux jeu­nes davan­ta­ge de pos­si­bi­li­tés d’ac­cé­der à des emplois dans le sec­teur de la cybersécurité.
Artic­le 11 Sécu­ri­té géné­ra­le des produits
Par déro­ga­ti­on à l’ar­tic­le 2, para­gra­phe 1, troi­siè­me ali­néa, point b), du règle­ment (UE) 2023/988 , le cha­pit­re III, sec­tion 1, les cha­pi­t­res V et VII et les cha­pi­t­res IX à XI dudit règle­ment s’ap­pli­quent aux pro­duits inté­grant des élé­ments numé­ri­ques en ce qui con­cer­ne les aspects et les ris­ques ou les caté­go­ries de ris­ques qui ne sont pas cou­verts par le pré­sent règle­ment, à con­di­ti­on que ces pro­duits ne soi­ent pas sou­mis à des exi­gen­ces de sécu­ri­té spé­ci­fi­ques pré­vues par d’aut­res “légis­la­ti­ons d’har­mo­ni­sa­ti­on de l’U­ni­on” au sens de l’ar­tic­le 3, point 27, du règle­ment (UE) 2023/988 .
Artic­le 12 Systè­mes d’in­tel­li­gence arti­fi­ci­el­le à haut risque
(1) Sans pré­ju­di­ce des exi­gen­ces en matiè­re de pré­cis­i­on et de robust­es­se visées à l’ar­tic­le 15 du règle­ment (UE) 2024/1689, les pro­duits con­tenant des élé­ments numé­ri­ques rele­vant du champ d’ap­pli­ca­ti­on du pré­sent règle­ment qui sont con­sidé­rés com­me des systè­mes d’in­tel­li­gence arti­fi­ci­el­le à haut ris­que con­for­mé­ment à l’ar­tic­le 6 dudit règle­ment sont répu­tés con­for­mes aux exi­gen­ces en matiè­re de cyber­sé­cu­ri­té visées à l’ar­tic­le 15 dudit règle­ment si
a) ces pro­duits satis­font aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie I ;
b) les pro­cé­du­res éta­b­lies par le fab­ri­cant sont con­for­mes aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie II ; et
c) la réa­li­sa­ti­on du niveau de cyber­sé­cu­ri­té requis par l’ar­tic­le 15 du règle­ment (UE) 2024/1689 est atte­stée dans la décla­ra­ti­on UE de con­for­mi­té déli­v­rée con­for­mé­ment au pré­sent règlement.
(2) La pro­cé­du­re per­ti­nen­te d’éva­lua­ti­on de la con­for­mi­té pré­vue à l’ar­tic­le 43 du règle­ment (UE) 2024/1689 s’ap­pli­que aux pro­duits visés au para­gra­phe 1 qui com­portent des élé­ments numé­ri­ques et des exi­gen­ces de cyber­sé­cu­ri­té. Aux fins de cet­te éva­lua­ti­on, les orga­nis­mes noti­fi­és char­gés de con­trô­ler la con­for­mi­té des systè­mes d’IA à haut ris­que en ver­tu du règle­ment (UE) 2024/1689 sont éga­le­ment char­gés de con­trô­ler, en ver­tu du pré­sent règle­ment, la con­for­mi­té des systè­mes d’IA à haut ris­que avec les exi­gen­ces énon­cées à l’an­ne­xe I du pré­sent règle­ment, à con­di­ti­on que la pro­cé­du­re de noti­fi­ca­ti­on menée con­for­mé­ment au règle­ment (UE) 2024/1689 ait per­mis de véri­fier que ces orga­nis­mes noti­fi­és satis­font aux exi­gen­ces énon­cées à l’ar­tic­le 39 du pré­sent règlement.
(3) Par déro­ga­ti­on au para­gra­phe 2 du pré­sent artic­le, les pro­duits essen­tiels con­tenant des élé­ments numé­ri­ques énu­mé­rés à l’an­ne­xe III du pré­sent règle­ment qui sont sou­mis aux pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té visées à l’ar­tic­le 32, para­gra­phe 2, points a) et b), et à l’ar­tic­le 32, para­gra­phe 3, du pré­sent règle­ment, ain­si que les pro­duits cri­ti­ques con­tenant des élé­ments numé­ri­ques énu­mé­rés à l’an­ne­xe IV du pré­sent règle­ment qui doi­vent obte­nir un cer­ti­fi­cat euro­pé­en de cyber­sé­cu­ri­té con­for­mé­ment à l’ar­tic­le 8, para­gra­phe 1, du pré­sent règle­ment ou, en l’ab­sence d’un tel cer­ti­fi­cat, qui sont sou­mis aux pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té visées à l’ar­tic­le 32, para­gra­phe 3, du pré­sent règle­ment, et éga­le­ment clas­sés com­me systè­mes d’in­tel­li­gence arti­fi­ci­el­le à haut ris­que con­for­mé­ment à l’ar­tic­le 6 du règle­ment (UE) 2024/1689 et sou­mis à la pro­cé­du­re d’éva­lua­ti­on de la con­for­mi­té sur la base d’un con­trô­le inter­ne con­for­mé­ment à l’an­ne­xe VI du règle­ment (UE) 2024/1689, sont sou­mis aux pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té pré­vues par le pré­sent règle­ment, dans la mesu­re où cela con­cer­ne les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té défi­nies dans le pré­sent règlement.
(4) Les fab­ri­cants de pro­duits com­portant des élé­ments numé­ri­ques visés au para­gra­phe 1 peu­vent par­ti­ci­per aux labo­ra­toires de recher­che sur l’IA visés à l’ar­tic­le 57 du règle­ment (UE) 2024/1689.

Cha­pit­re II Obli­ga­ti­ons des opé­ra­teurs éco­no­mi­ques et dis­po­si­ti­ons rela­ti­ves aux logi­ciels libres et à code source ouvert 

Artic­le 13 Obli­ga­ti­ons des producteurs
(1) Lorsqu’ils met­tent sur le mar­ché un pro­duit con­tenant des élé­ments numé­ri­ques, les fab­ri­cants veil­lent à ce que ce pro­duit soit con­çu, déve­lo­p­pé et fab­ri­qué con­for­mé­ment aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie I. Ils veil­lent éga­le­ment à ce que le pro­duit soit con­for­me à ces exigences.
(2) Aux fins du respect du para­gra­phe 1, les fab­ri­cants procè­dent à une éva­lua­ti­on des ris­ques de cyber­sé­cu­ri­té que pré­sen­te un pro­duit numé­ri­que et tien­nent comp­te du résul­tat de cet­te éva­lua­ti­on lors des pha­ses de pla­ni­fi­ca­ti­on, de con­cep­ti­on, de déve­lo­p­pe­ment, de fab­ri­ca­ti­on, de liv­rai­son et d’en­tre­ti­en du pro­duit numé­ri­que, afin de rédui­re au mini­mum les ris­ques de cyber­sé­cu­ri­té, de pré­ve­nir les inci­dents de sécu­ri­té et de mini­mi­ser l’im­pact de ces inci­dents, y com­pris sur la san­té et la sécu­ri­té des utilisateurs.
(3) L’éva­lua­ti­on du ris­que de cyber­sé­cu­ri­té est docu­men­tée et, le cas échéant, mise à jour pen­dant une péri­ode de sou­ti­en à déter­mi­ner con­for­mé­ment au para­gra­phe 8. Cet­te éva­lua­ti­on du ris­que de cyber­sé­cu­ri­té com­prend au mini­mum une ana­ly­se des ris­ques de cyber­sé­cu­ri­té fon­dée sur la desti­na­ti­on et l’uti­li­sa­ti­on rai­sonnablem­ent pré­vi­si­ble du pro­duit con­tenant des élé­ments numé­ri­ques, tels que l’en­vi­ron­ne­ment d’ex­plo­ita­ti­on ou les instal­la­ti­ons à pro­té­ger, en tenant comp­te de la durée de vie uti­le pré­vue du pro­duit. L’éva­lua­ti­on du ris­que de cyber­sé­cu­ri­té indi­que si et, le cas échéant, com­ment les exi­gen­ces de sécu­ri­té visées à l’an­ne­xe I, par­tie I, point 2, s’ap­pli­quent au pro­duit numé­ri­que con­cer­né et com­ment ces exi­gen­ces sont mises en œuvre sur la base de l’éva­lua­ti­on du ris­que de cyber­sé­cu­ri­té. Il indi­que éga­le­ment la maniè­re dont le fab­ri­cant doit appli­quer l’an­ne­xe I, par­tie I, point 1, et les exi­gen­ces rela­ti­ves au trai­te­ment des vul­né­ra­bi­li­tés énon­cées à l’an­ne­xe I, par­tie II.
(4) Lorsqu’il met sur le mar­ché un pro­duit con­tenant des élé­ments numé­ri­ques, le fab­ri­cant inclut l’éva­lua­ti­on des ris­ques de cyber­sé­cu­ri­té visée au para­gra­phe 3 dans la docu­men­ta­ti­on tech­ni­que requi­se en ver­tu de l’ar­tic­le 31 et de l’an­ne­xe VII. Dans le cas des pro­duits con­tenant des élé­ments numé­ri­ques visés à l’ar­tic­le 12 qui sont éga­le­ment sou­mis à d’aut­res légis­la­ti­ons de l’U­ni­on, l’éva­lua­ti­on des ris­ques liés à la cyber­sé­cu­ri­té peut éga­le­ment fai­re par­tie des éva­lua­tions des ris­ques exi­gées par les légis­la­ti­ons de l’U­ni­on con­cer­nées. Lorsque cer­tai­nes exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té ne s’ap­pli­quent pas au pro­duit numé­ri­que, le fab­ri­cant en don­ne une justi­fi­ca­ti­on clai­re dans la docu­men­ta­ti­on technique.
(5) Aux fins du respect de l’ob­li­ga­ti­on pré­vue au para­gra­phe 1, les fab­ri­cants font preuve de la dili­gence requi­se lorsqu’ils intègrent dans leurs pro­duits numé­ri­ques des com­po­sants obte­nus auprès de tiers, de sor­te que ces com­po­sants ne com­pro­met­tent pas la cyber­sé­cu­ri­té du pro­duit numé­ri­que, y com­pris lorsqu’ils intègrent des logi­ciels libres et à code source ouvert qui n’ont pas été mis à dis­po­si­ti­on sur le mar­ché dans le cad­re d’u­ne acti­vi­té commerciale.
(6) Dès qu’ils cons­tat­ent une vul­né­ra­bi­li­té dans un com­po­sant inté­g­ré au pro­duit numé­ri­que, y com­pris un com­po­sant à source ouver­te, les fab­ri­cants noti­fi­ent cet­te vul­né­ra­bi­li­té à la per­son­ne ou à l’en­ti­té qui fab­ri­que ou ent­re­ti­ent ce com­po­sant et trai­tent et cor­ri­gent cet­te vul­né­ra­bi­li­té con­for­mé­ment aux exi­gen­ces en matiè­re de trai­te­ment des vul­né­ra­bi­li­tés énon­cées à l’an­ne­xe I, par­tie II. Si les fab­ri­cants ont mis au point une modi­fi­ca­ti­on logi­ciel­le ou maté­ri­el­le pour remé­dier à la vul­né­ra­bi­li­té de ce com­po­sant, ils com­mu­ni­quent le code ou la docu­men­ta­ti­on per­tin­ents à la per­son­ne ou à l’or­ga­nis­me qui fab­ri­que ou ent­re­ti­ent le com­po­sant, le cas échéant dans un for­mat lisi­ble par machine.
(7) Le fab­ri­cant docu­men­te sys­té­ma­ti­quement et d’u­ne maniè­re appro­priée à la natu­re des ris­ques de cyber­sé­cu­ri­té tous les aspects per­tin­ents de la cyber­sé­cu­ri­té du pro­duit con­tenant des élé­ments numé­ri­ques, y com­pris les vul­né­ra­bi­li­tés dont il a con­nais­sance et tou­te infor­ma­ti­on per­ti­nen­te four­nie par des tiers, et met à jour, le cas échéant, l’éva­lua­ti­on des ris­ques de cyber­sé­cu­ri­té du produit.
(8) Lorsqu’ils met­tent sur le mar­ché un pro­duit con­tenant des élé­ments numé­ri­ques et pen­dant la durée de vie pré­vue du pro­duit et la péri­ode de sou­ti­en, les fab­ri­cants veil­lent à ce que les vul­né­ra­bi­li­tés de ce pro­duit, y com­pris de ses com­po­sants, soi­ent trai­tées effi­ca­ce­ment et con­for­mé­ment aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie II.
Les fab­ri­cants déter­mi­nent la péri­ode de sup­port de maniè­re à ce qu’el­le reflè­te la durée d’uti­li­sa­ti­on pré­vue du pro­duit, en tenant comp­te, en par­ti­cu­lier, des atten­tes rai­sonn­ables des uti­li­sa­teurs, de la natu­re du pro­duit, y com­pris sa desti­na­ti­on, et de la légis­la­ti­on per­ti­nen­te de l’U­ni­on fix­ant la durée de vie des pro­duits inté­grant des élé­ments numé­ri­ques. Pour déter­mi­ner la péri­ode de sou­ti­en, les fab­ri­cants peu­vent éga­le­ment tenir comp­te des péri­odes de sou­ti­en pour les pro­duits inté­grant des élé­ments numé­ri­ques qui ont une fonc­tion simi­lai­re et qui sont mis sur le mar­ché par d’aut­res fab­ri­cants, de la dis­po­ni­bi­li­té de l’en­vi­ron­ne­ment d’ex­plo­ita­ti­on, des péri­odes de sou­ti­en pour les com­po­sants inté­g­rés assu­rant des fonc­tions essen­ti­el­les et ache­tés auprès de tiers, ain­si que des ori­en­ta­ti­ons per­ti­nen­tes du grou­pe spé­cial de coopé­ra­ti­on admi­ni­stra­ti­ve (ADCO) insti­tué en ver­tu de l’ar­tic­le 52, para­gra­phe 15, et de la Com­mis­si­on. Les élé­ments à prend­re en con­sidé­ra­ti­on pour déter­mi­ner la péri­ode de sou­ti­en sont pris en comp­te de maniè­re à garan­tir la pro­por­ti­on­na­li­té. Sans pré­ju­di­ce du deu­xiè­me ali­néa, la péri­ode de sou­ti­en est d’au moins cinq ans. Si l’on esti­me que le pro­duit con­tenant des élé­ments numé­ri­ques sera en ser­vice pen­dant moins de cinq ans, la péri­ode de sou­ti­en doit cor­re­spond­re à la durée d’uti­li­sa­ti­on pré­vue. Comp­te tenu des recom­man­da­ti­ons de l’AD­CO visées à l’ar­tic­le 52, para­gra­phe 16, la Com­mis­si­on peut adop­ter des actes délé­gués con­for­mé­ment à l’ar­tic­le 61 afin de com­plé­ter le pré­sent règle­ment en fix­ant la péri­ode mini­ma­le de sou­ti­en pour cer­tai­nes caté­go­ries de pro­duits lorsque les don­nées de sur­veil­lan­ce du mar­ché indi­quent des péri­odes de sou­ti­en ina­dé­qua­tes. Les fab­ri­cants inclu­ent dans la docu­men­ta­ti­on tech­ni­que visée à l’an­ne­xe VII les infor­ma­ti­ons pri­ses en comp­te pour déter­mi­ner la péri­ode de sou­ti­en d’un pro­duit con­tenant des élé­ments numé­ri­ques. Les fab­ri­cants met­tent en place des poli­ti­ques et des pro­cé­du­res appro­priées, y com­pris une poli­tique de divul­ga­ti­on coor­don­née des vul­né­ra­bi­li­tés con­for­mé­ment à l’an­ne­xe I, par­tie II, point 5, afin de trai­ter et de cor­ri­ger les vul­né­ra­bi­li­tés poten­ti­el­les du pro­duit inté­grant des élé­ments numé­ri­ques signa­lées par des sources inter­nes ou exter­nes.
(9) Les fab­ri­cants veil­lent à ce que tou­te mise à jour de sécu­ri­té visée à l’an­ne­xe I, par­tie II, point 8, qui a été mise à la dis­po­si­ti­on des uti­li­sa­teurs pen­dant la péri­ode d’as­si­stance, reste dis­po­ni­ble après sa mise à dis­po­si­ti­on pen­dant au moins dix ans ou pen­dant la durée restan­te de la péri­ode d’as­si­stance, si cel­le-ci est plus longue.
(10) Lorsqu’un fab­ri­cant a mis sur le mar­ché des ver­si­ons suc­ce­s­si­ves sub­stan­ti­el­le­ment modi­fi­ées d’un pro­duit logi­ciel, il peut limi­ter l’assu­rance de la con­for­mi­té à l’e­xi­gence essen­ti­el­le de cyber­sé­cu­ri­té énon­cée à l’an­ne­xe I, par­tie II, point 2, à la ver­si­on que le fab­ri­cant a mise sur le mar­ché en der­nier lieu, à con­di­ti­on que les uti­li­sa­teurs de la ver­si­on pré­cé­dem­ment mise sur le mar­ché aient accès gra­tui­te­ment à la der­niè­re ver­si­on mise sur le mar­ché et qu’ils n’ai­ent pas à sup­port­er de coûts sup­p­lé­men­tai­res pour adap­ter l’en­vi­ron­ne­ment maté­ri­el et logi­ciel dans lequel ils uti­li­sent la ver­si­on ori­gi­na­le de ce produit.
(11) Les fab­ri­cants peu­vent gérer des archi­ves publi­ques de logi­ciels qui faci­li­tent l’ac­cès des uti­li­sa­teurs aux ver­si­ons histo­ri­ques. Dans ce cas, les uti­li­sa­teurs sont infor­més clai­re­ment et de maniè­re faci­le­ment acce­s­si­ble des ris­ques liés à l’uti­li­sa­ti­on de logi­ciels non pris en charge.
(12) Avant de mett­re un pro­duit con­tenant des élé­ments numé­ri­ques sur le mar­ché, les fab­ri­cants éta­blis­sent la docu­men­ta­ti­on tech­ni­que visée à l’ar­tic­le 31.
Ils met­tent ou font mett­re en œuvre les pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té choi­sies con­for­mé­ment à l’ar­tic­le 32. Lorsque cet­te pro­cé­du­re d’éva­lua­ti­on de la con­for­mi­té a démon­tré que le pro­duit con­tenant des élé­ments numé­ri­ques est con­for­me aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie I, et que les pro­cé­du­res éta­b­lies par le fab­ri­cant sont con­for­mes aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie II, les fab­ri­cants éta­blis­sent la décla­ra­ti­on UE de con­for­mi­té visée à l’ar­tic­le 28 et appo­sent le mar­quage CE con­for­mé­ment à l’ar­tic­le 30.
(13) Les fab­ri­cants con­ser­vent la docu­men­ta­ti­on tech­ni­que et la décla­ra­ti­on de con­for­mi­té UE à l’in­ten­ti­on des auto­ri­tés de sur­veil­lan­ce du mar­ché pen­dant au moins dix ans après la mise sur le mar­ché du pro­duit numé­ri­que ou pen­dant la durée de la péri­ode d’as­si­stance, la péri­ode la plus longue étant retenue.
(14) Les fab­ri­cants s’assu­rent, par des pro­cé­du­res appro­priées, que les pro­duits inté­grant des élé­ments numé­ri­ques restent con­for­mes au pré­sent règle­ment lorsqu’ils sont fab­ri­qués en série. Les fab­ri­cants tien­nent dûment comp­te des modi­fi­ca­ti­ons éven­tu­el­les du pro­ce­s­sus de con­cep­ti­on et de fab­ri­ca­ti­on ou de la con­cep­ti­on ou des carac­té­ri­sti­ques du pro­duit numé­ri­que, ain­si que des modi­fi­ca­ti­ons des nor­mes har­mo­ni­sées, des sché­mas euro­pé­ens de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té ou des spé­ci­fi­ca­ti­ons com­mu­nes visées à l’ar­tic­le 27, qui ont été uti­li­sés pour décla­rer la con­for­mi­té du pro­duit numé­ri­que ou pour véri­fier sa conformité.
(15) Les fab­ri­cants veil­lent à ce que leurs pro­duits con­tenant des élé­ments numé­ri­ques portent un numé­ro de type, de lot ou de série ou tout aut­re élé­ment per­met­tant de les iden­ti­fier ou, si cela n’est pas pos­si­ble, à ce que ces infor­ma­ti­ons figu­rent sur l’em­bal­la­ge ou dans la docu­men­ta­ti­on accom­pa­gnant le pro­duit con­tenant des élé­ments numériques.
(16) Les fab­ri­cants indi­quent le nom, le nom com­mer­cial enre­gi­stré ou la mar­que dépo­sée du fab­ri­cant, l’adres­se posta­le, l’adres­se élec­tro­ni­que ou d’aut­res coor­don­nées numé­ri­ques et, le cas échéant, le site web sur lequel le fab­ri­cant peut être cont­ac­té, soit sur le pro­duit numé­ri­que lui-même, soit, si cela n’est pas pos­si­ble, sur l’em­bal­la­ge ou dans la docu­men­ta­ti­on accom­pa­gnant le pro­duit numé­ri­que. Ces infor­ma­ti­ons sont éga­le­ment inclu­ses dans les infor­ma­ti­ons et les ins­truc­tions four­nies aux uti­li­sa­teurs con­for­mé­ment à l’an­ne­xe II. Les coor­don­nées sont rédi­gées dans une lan­gue aisé­ment com­pré­hen­si­ble par les uti­li­sa­teurs et les auto­ri­tés de sur­veil­lan­ce du marché.
(17) Aux fins du pré­sent règle­ment, les fab­ri­cants désign­ent un point de cont­act uni­que per­met­tant aux uti­li­sa­teurs de com­mu­ni­quer direc­te­ment et rapi­de­ment avec eux, notam­ment pour faci­li­ter la noti­fi­ca­ti­on des points fai­bles du pro­duit con­tenant des élé­ments numériques.
Les fab­ri­cants veil­lent à ce que le point de cont­act uni­que pui­s­se être faci­le­ment iden­ti­fié par les uti­li­sa­teurs. Ils inclu­ent éga­le­ment le point de cont­act uni­que dans les infor­ma­ti­ons et les ins­truc­tions desti­nées aux uti­li­sa­teurs, con­for­mé­ment à l’an­ne­xe II. Le guichet uni­que per­met aux uti­li­sa­teurs de choi­sir leur moy­en de com­mu­ni­ca­ti­on pré­fé­ré, sans que ce moy­en soit limi­té aux instru­ments auto­ma­ti­sés.
(18) Les fab­ri­cants veil­lent à ce que les dis­po­si­tifs numé­ri­ques soi­ent accom­pa­gnés des infor­ma­ti­ons et ins­truc­tions desti­nées à l’uti­li­sa­teur, visées à l’an­ne­xe II, sur sup­port papier ou élec­tro­ni­que. Ces infor­ma­ti­ons et ins­truc­tions doi­vent être four­nies dans une lan­gue aisé­ment com­pré­hen­si­ble par les uti­li­sa­teurs et les auto­ri­tés de sur­veil­lan­ce du mar­ché. Elles doi­vent être clai­res, com­pré­hen­si­bles, expli­ci­tes et lisi­bles. Elles doi­vent per­mett­re une instal­la­ti­on, un fonc­tion­ne­ment et une uti­li­sa­ti­on sûrs des pro­duits con­tenant des élé­ments numé­ri­ques. Les fab­ri­cants met­tent les infor­ma­ti­ons et les ins­truc­tions desti­nées aux uti­li­sa­teurs, visées à l’an­ne­xe II, à la dis­po­si­ti­on des uti­li­sa­teurs après la mise sur le mar­ché du pro­duit numé­ri­que pen­dant au moins dix ans ou pen­dant la durée de la péri­ode d’as­si­stance, si cel­le-ci est plus longue. Lorsque ces infor­ma­ti­ons et ins­truc­tions sont four­nies en ligne, les fab­ri­cants veil­lent à ce qu’el­les soi­ent acce­s­si­bles, faci­les à uti­li­ser et dis­po­ni­bles en ligne pen­dant au moins dix ans après la mise sur le mar­ché du pro­duit inté­grant des élé­ments numé­ri­ques ou pen­dant la péri­ode de sou­ti­en, si cel­le-ci est plus longue.
(19) Les fab­ri­cants veil­lent à ce que la date de fin de la péri­ode de sou­ti­en visée au para­gra­phe 8 soit indi­quée de maniè­re clai­re et com­pré­hen­si­ble, au moment de l’achat, de façon aisé­ment acce­s­si­ble et, le cas échéant, sur le pro­duit au moy­en d’é­lé­ments numé­ri­ques, sur son embal­la­ge ou par des moy­ens numé­ri­ques, en pré­cisant au moins le mois et l’année.
Lorsque cela est tech­ni­quement pos­si­ble comp­te tenu de la natu­re du pro­duit numé­ri­que, les fab­ri­cants affi­chent une noti­fi­ca­ti­on aux uti­li­sa­teurs pour les infor­mer que la péri­ode de sou­ti­en de leur pro­duit numé­ri­que est arri­vée à son ter­me.
(20) Les fab­ri­cants joig­n­ent au pro­duit con­tenant des élé­ments numé­ri­ques soit une copie de la décla­ra­ti­on de con­for­mi­té UE, soit une décla­ra­ti­on de con­for­mi­té UE sim­pli­fi­ée. Si seu­le une décla­ra­ti­on de con­for­mi­té UE sim­pli­fi­ée est four­nie, elle doit indi­quer l’adres­se inter­net exac­te à laquel­le la décla­ra­ti­on de con­for­mi­té UE com­plè­te peut être consultée.
(21) Dès la mise sur le mar­ché et pen­dant la péri­ode de sou­ti­en, les fab­ri­cants qui savent ou ont des rai­sons de cro­i­re que le pro­duit numé­ri­que ou les pro­ce­s­sus défi­nis par le fab­ri­cant ne sont pas con­for­mes aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I pren­nent immé­dia­te­ment les mesu­res cor­rec­ti­ves néces­saires pour mett­re ce pro­duit numé­ri­que ou les pro­ce­s­sus du fab­ri­cant en con­for­mi­té ou, le cas échéant, pour reti­rer le pro­duit du mar­ché ou le rappeler.
(22) Sur deman­de moti­vée de l’au­to­ri­té de sur­veil­lan­ce du mar­ché, les fab­ri­cants lui com­mu­ni­quent, sur sup­port papier ou sous for­me élec­tro­ni­que, dans une lan­gue aisé­ment com­pré­hen­si­ble par cet­te auto­ri­té, tou­tes les infor­ma­ti­ons et tous les docu­ments néces­saires pour démon­trer la con­for­mi­té du pro­duit numé­ri­que et des pro­cé­du­res éta­b­lies par le fab­ri­cant avec les exi­gen­ces essen­ti­el­les en matiè­re de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I. Les fab­ri­cants coopè­rent avec cet­te auto­ri­té, à la deman­de de cel­le-ci, à tou­te mesu­re visa­nt à pré­ve­nir les ris­ques de cyber­sé­cu­ri­té pré­sen­tés par un pro­duit inté­grant des élé­ments numé­ri­ques qu’ils ont mis sur le marché.
(23) Tout fab­ri­cant qui ces­se ses acti­vi­tés et qui, par con­sé­quent, n’est pas en mesu­re de se con­for­mer au pré­sent règle­ment en infor­me, avant la pri­se d’ef­fet de la ces­sa­ti­on, les auto­ri­tés de sur­veil­lan­ce du mar­ché con­cer­nées et, par tous les moy­ens dis­po­ni­bles et dans la mesu­re du pos­si­ble, les uti­li­sa­teurs des pro­duits numé­ri­ques con­cer­nés mis sur le marché.
(24) La Com­mis­si­on peut, au moy­en d’ac­tes d’exé­cu­ti­on, défi­nir le for­mat et les élé­ments de la nomen­cla­tu­re logi­ciel­le visée à l’an­ne­xe I, par­tie II, point 1, en tenant comp­te des nor­mes euro­pé­en­nes ou inter­na­tio­na­les et des meil­leu­res pra­ti­ques. Ces actes d’exé­cu­ti­on sont adop­tés con­for­mé­ment à la pro­cé­du­re d’ex­amen visée à l’ar­tic­le 62, para­gra­phe 2.
(25) Afin d’éva­luer la dépen­dance des États mem­bres et de l’U­ni­on dans son ensem­ble vis-à-vis des com­po­sants logi­ciels, et en par­ti­cu­lier des com­po­sants con­sidé­rés com­me des logi­ciels libres et à code source ouvert, ADCO peut déci­der de pro­cé­der à une éva­lua­ti­on de la dépen­dance à l’é­chel­le de l’U­ni­on pour cer­tai­nes caté­go­ries de pro­duits con­tenant des élé­ments numé­ri­ques. cet­te fin, les auto­ri­tés de sur­veil­lan­ce du mar­ché peu­vent deman­der aux fab­ri­cants de ces caté­go­ries de pro­duits con­tenant des élé­ments numé­ri­ques de four­nir les nomen­cla­tures de logi­ciels cor­re­spond­an­tes, con­for­mé­ment à l’an­ne­xe I, par­tie II, point 1. Sur la base de ces infor­ma­ti­ons, les auto­ri­tés de sur­veil­lan­ce du mar­ché peu­vent four­nir à ADCO des infor­ma­ti­ons anony­mes et agré­gées sur les dépen­dan­ces logi­ciel­les. L’ADCO pré­sen­te un rap­port sur les résul­tats de l’éva­lua­ti­on des dépen­dan­ces au grou­pe de coopé­ra­ti­on insti­tué en ver­tu de l’ar­tic­le 14 de la direc­ti­ve (UE) 2022/2555.
Artic­le 14 Obli­ga­ti­ons de noti­fi­ca­ti­on des fabricants
(1) Tout fab­ri­cant noti­fie simul­ta­né­ment au CSIRT, dési­gné com­me coor­di­na­teur con­for­mé­ment au para­gra­phe 7, et à l’E­NISA tou­te vul­né­ra­bi­li­té acti­ve­ment exploi­tée dont il a con­nais­sance et qui est pré­sen­te dans le pro­duit con­tenant des élé­ments numé­ri­ques. Le fab­ri­cant noti­fie cet­te vul­né­ra­bi­li­té acti­ve­ment exploi­tée par l’in­ter­mé­di­ai­re de la pla­te-for­me de noti­fi­ca­ti­on uni­que éta­b­lie con­for­mé­ment à l’ar­tic­le 16.
(2) Aux fins de la noti­fi­ca­ti­on visée au para­gra­phe 1, le fab­ri­cant four­nit les élé­ments suivants :
a) dans les meil­leurs délais et, en tout état de cau­se, dans les 24 heu­res sui­vant la date à laquel­le le fab­ri­cant en a eu con­nais­sance, une aler­te rapi­de con­cer­nant une vul­né­ra­bi­li­té acti­ve­ment exploi­tée, en pré­cisant les États mem­bres sur le ter­ri­toire des­quels, à sa con­nais­sance, le pro­duit con­tenant des élé­ments numé­ri­ques du fab­ri­cant a été mis à disposition ;
b) si les infor­ma­ti­ons per­ti­nen­tes n’ont pas déjà été four­nies, dans les meil­leurs délais et, en tout état de cau­se, dans les 72 heu­res sui­vant la pri­se de con­nais­sance par le fab­ri­cant de la vul­né­ra­bi­li­té acti­ve­ment exploi­tée, une noti­fi­ca­ti­on de vul­né­ra­bi­li­té con­tenant des infor­ma­ti­ons géné­ra­les, si elles sont dis­po­ni­bles, sur le pro­duit numé­ri­que con­cer­né, sur la natu­re géné­ra­le de l’ex­plo­ita­ti­on et sur la vul­né­ra­bi­li­té en que­sti­on, ain­si que sur tou­te mesu­re cor­rec­ti­ve ou d’at­té­nua­ti­on des ris­ques pri­se et sur tou­te mesu­re cor­rec­ti­ve ou d’at­té­nua­ti­on que les uti­li­sa­teurs peu­vent prend­re, en pré­cisant, le cas échéant, le degré de sen­si­bi­li­té que le fab­ri­cant esti­me avoir pour les infor­ma­ti­ons notifiées ;
c) si les infor­ma­ti­ons per­ti­nen­tes n’ont pas enco­re été four­nies, un rap­port final con­tenant au moins les élé­ments sui­vants, au plus tard qua­tor­ze jours après qu’u­ne mesu­re cor­rec­ti­ve ou une mesu­re de réduc­tion des ris­ques a été mise à disposition :
i) une descrip­ti­on de la vul­né­ra­bi­li­té, y com­pris de sa gra­vi­té et de son impact,
ii) si elles sont dis­po­ni­bles, des infor­ma­ti­ons sur tout acteur mal­veil­lant qui a exploi­té ou exploi­te la vulnérabilité,
iii) des infor­ma­ti­ons sur la mise à jour de sécu­ri­té ou tou­te aut­re mesu­re cor­rec­ti­ve four­nie pour cor­ri­ger la vulnérabilité.
(3) Un fab­ri­cant noti­fie tout inci­dent de sécu­ri­té gra­ve affec­tant la sécu­ri­té du pro­duit numé­ri­que dont il a con­nais­sance simul­ta­né­ment au CSIRT dési­gné com­me coor­di­na­teur con­for­mé­ment au para­gra­phe 7 et à l’E­NISA. Le fab­ri­cant noti­fie cet inci­dent de sécu­ri­té au moy­en de la pla­te-for­me de noti­fi­ca­ti­on uni­que éta­b­lie con­for­mé­ment à l’ar­tic­le 16.
(4) Aux fins de la noti­fi­ca­ti­on visée au para­gra­phe 3, le fab­ri­cant four­nit les élé­ments suivants :
a) sans retard et, en tout état de cau­se, dans les 24 heu­res après que le fab­ri­cant en a eu con­nais­sance, une aler­te rapi­de rela­ti­ve à un inci­dent de sécu­ri­té gra­ve affec­tant la sécu­ri­té du pro­duit numé­ri­que, en indi­quant au moins s’il y a lieu de suspec­ter que l’in­ci­dent de sécu­ri­té résul­te d’un acte illi­ci­te ou mal­veil­lant et, le cas échéant, en pré­cisant les États mem­bres sur le ter­ri­toire des­quels le pro­duit numé­ri­que du fab­ri­cant a été, à sa con­nais­sance, mis à disposition ;
b) si les infor­ma­ti­ons per­ti­nen­tes n’ont pas déjà été com­mu­ni­quées, dans les meil­leurs délais et, en tout état de cau­se, dans les 72 heu­res sui­vant la pri­se de con­nais­sance de l’in­ci­dent de sécu­ri­té par le fab­ri­cant, une noti­fi­ca­ti­on de l’in­ci­dent de sécu­ri­té con­tenant des infor­ma­ti­ons géné­ra­les, si elles sont dis­po­ni­bles, sur la natu­re de l’in­ci­dent de sécu­ri­té, une pre­miè­re éva­lua­ti­on de l’in­ci­dent de sécu­ri­té, les mesu­res cor­rec­ti­ves ou de réduc­tion des ris­ques pri­ses et les mesu­res cor­rec­ti­ves ou cor­rec­tri­ces que les uti­li­sa­teurs peu­vent prend­re, et pré­cisant, le cas échéant, le degré de sen­si­bi­li­té que le fab­ri­cant accor­de aux infor­ma­ti­ons notifiées ;
c) si les infor­ma­ti­ons per­ti­nen­tes n’ont pas enco­re été trans­mi­ses, un rap­port final con­tenant au moins les élé­ments sui­vants, dans un délai d’un mois à comp­ter de la trans­mis­si­on de la noti­fi­ca­ti­on de l’in­ci­dent de sécu­ri­té visée au point b) :
i) une descrip­ti­on détail­lée de l’in­ci­dent de sécu­ri­té, y com­pris sa gra­vi­té et ses conséquences ;
ii) Infor­ma­ti­ons sur la natu­re de la men­ace ou de la cau­se sous-jacen­te sus­cep­ti­ble d’a­voir déclen­ché l’in­ci­dent de sécurité ;
iii) des infor­ma­ti­ons sur les mesu­res cor­rec­ti­ves pri­ses et en cours.
(5) Aux fins du para­gra­phe 3, un inci­dent de sécu­ri­té ayant des con­sé­quen­ces sur la sécu­ri­té du pro­duit numé­ri­que est con­sidé­ré com­me gra­ve si
a) il a ou peut avoir un effet néga­tif sur la capa­ci­té d’un pro­duit con­tenant des élé­ments numé­ri­ques à pro­té­ger la dis­po­ni­bi­li­té, l’au­then­ti­ci­té, l’in­té­gri­té ou la con­fi­den­tia­li­té de don­nées ou de fonc­tions sen­si­bles ou importan­tes ; ou
b) il a ent­raî­né ou est sus­cep­ti­ble d’en­traî­ner l’in­tro­duc­tion ou l’exé­cu­ti­on d’un code mal­veil­lant dans un pro­duit con­tenant des élé­ments numé­ri­ques ou dans le réseau et le système d’in­for­ma­ti­on d’un uti­li­sa­teur du pro­duit con­tenant des élé­ments numériques.
(6) Si néces­saire, le CSIRT dési­gné com­me coor­di­na­teur qui reçoit initia­le­ment la noti­fi­ca­ti­on peut deman­der aux fab­ri­cants de pré­sen­ter un rap­port inter­mé­di­ai­re sur les mises à jour per­ti­nen­tes de l’é­tat de la vul­né­ra­bi­li­té acti­ve­ment exploi­tée ou de l’in­ci­dent de sécu­ri­té gra­ve qui affec­te la sécu­ri­té du pro­duit con­tenant des élé­ments numériques.
(7) Les noti­fi­ca­ti­ons visées aux para­gra­phes 1 et 3 du pré­sent artic­le sont trans­mi­ses via la pla­te-for­me de noti­fi­ca­ti­on uni­que visée à l’ar­tic­le 16, en uti­li­sant l’un des points de ter­mi­nai­son de la noti­fi­ca­ti­on élec­tro­ni­que visés à l’ar­tic­le 16, para­gra­phe 1. La noti­fi­ca­ti­on est trans­mi­se via le point de ter­mi­nai­son de la noti­fi­ca­ti­on élec­tro­ni­que du CSIRT dési­gné com­me coor­di­na­teur de l’É­tat membre dans lequel les fab­ri­cants ont leur prin­ci­pal éta­blis­se­ment dans l’U­ni­on, tout en étant acce­s­si­ble à l’ENISA.
Aux fins du pré­sent règle­ment, un fab­ri­cant est répu­té avoir son prin­ci­pal éta­blis­se­ment dans l’U­ni­on dans l’É­tat membre où sont prin­ci­pa­le­ment pri­ses les décis­i­ons rela­ti­ves à la cyber­sé­cu­ri­té de ses pro­duits con­tenant des élé­ments numé­ri­ques. Si un tel État membre ne peut être déter­mi­né, l’É­tat membre de l’é­ta­blis­se­ment prin­ci­pal est celui dans lequel le fab­ri­cant con­cer­né a l’é­ta­blis­se­ment employant le plus grand nombre de per­son­nes dans l’U­ni­on. Lorsqu’un fab­ri­cant n’a pas d’é­ta­blis­se­ment prin­ci­pal dans l’U­ni­on, il envoie les noti­fi­ca­ti­ons visées aux para­gra­phes 1 et 3 en uti­li­sant le point final de noti­fi­ca­ti­on élec­tro­ni­que du CSIRT dési­gné com­me coor­di­na­teur dans l’É­tat membre, déter­mi­né selon l’ord­re sui­vant et sur la base des infor­ma­ti­ons dont dis­po­se le fab­ri­cant :
a) l’É­tat membre dans lequel est éta­b­li le man­da­tai­re qui agit au nom du fab­ri­cant pour la plu­part des pro­duits con­tenant des élé­ments numé­ri­ques du fabricant ;
b) l’É­tat membre dans lequel est éta­b­li l’im­por­ta­teur qui met sur le mar­ché la plu­part des pro­duits con­tenant des élé­ments numé­ri­ques de ce fabricant ;
c) l’É­tat membre dans lequel est éta­b­li le dis­tri­bu­teur qui met à dis­po­si­ti­on sur le mar­ché la plu­part des pro­duits con­tenant des élé­ments numé­ri­ques de ce fabricant ;
d) l’É­tat membre dans lequel se trouve la majo­ri­té des uti­li­sa­teurs de pro­duits con­tenant des élé­ments numé­ri­ques de ce fabricant.
En ce qui con­cer­ne le troi­siè­me ali­néa, point d), un fab­ri­cant peut adress­er des noti­fi­ca­ti­ons rela­ti­ves à des vul­né­ra­bi­li­tés ulté­ri­eu­re­ment exploi­tées acti­ve­ment ou à des inci­dents de sécu­ri­té gra­ves affec­tant la sécu­ri­té du pro­duit numé­ri­que au même CSIRT que celui qui a été dési­gné com­me coor­di­na­teur et auquel il a adres­sé sa pre­miè­re noti­fi­ca­ti­on.
(8) Après avoir pris con­nais­sance d’u­ne vul­né­ra­bi­li­té acti­ve­ment exploi­tée ou d’un inci­dent de sécu­ri­té gra­ve affec­tant la sécu­ri­té du pro­duit numé­ri­que, le fab­ri­cant infor­me les uti­li­sa­teurs con­cer­nés du pro­duit numé­ri­que et, le cas échéant, tous les uti­li­sa­teurs, de cet­te vul­né­ra­bi­li­té ou de cet inci­dent de sécu­ri­té gra­ve et, si néces­saire, de tou­te mesu­re d’at­té­nua­ti­on des ris­ques et de tou­te mesu­re cor­rec­ti­ve que les uti­li­sa­teurs peu­vent prend­re pour atté­nuer l’im­pact de ces vul­né­ra­bi­li­tés ou de ces inci­dents de sécu­ri­té, le cas échéant dans un for­mat struc­tu­ré, lisi­ble par machi­ne et faci­le à trai­ter auto­ma­ti­quement. Si le fab­ri­cant omet d’in­for­mer les uti­li­sa­teurs du pro­duit con­tenant des élé­ments numé­ri­ques en temps uti­le, les CSIRT dési­gnés com­me coor­di­na­teurs peu­vent mett­re ces infor­ma­ti­ons à la dis­po­si­ti­on des uti­li­sa­teurs s’ils esti­ment que cela est pro­por­ti­onné et néces­saire pour pré­ve­nir ou atté­nuer les effets de ces vul­né­ra­bi­li­tés ou inci­dents de sécurité.
(9) Au plus tard le 11 décembre 2025, la Com­mis­si­on adop­te un acte délé­gué con­for­mé­ment à l’ar­tic­le 61 du pré­sent règle­ment afin de com­plé­ter le pré­sent règle­ment en défi­nis­sant les moda­li­tés et con­di­ti­ons d’ap­pli­ca­ti­on des motifs de cyber­sé­cu­ri­té liés au retard de dif­fu­si­on des noti­fi­ca­ti­ons visé à l’ar­tic­le 16, para­gra­phe 2, du pré­sent règle­ment. La Com­mis­si­on coopè­re avec le réseau CSIRTS éta­b­li con­for­mé­ment à l’ar­tic­le 15 de la direc­ti­ve (UE) 2022/2555 et avec l’E­NISA pour l’é­la­bo­ra­ti­on du pro­jet d’ac­te délégué.
(10) La Com­mis­si­on peut, au moy­en d’ac­tes d’exé­cu­ti­on, pré­cis­er le for­mat et les pro­cé­du­res appli­ca­bles aux noti­fi­ca­ti­ons visées au pré­sent artic­le et aux artic­les 15 et 16. Ces actes d’exé­cu­ti­on sont adop­tés con­for­mé­ment à la pro­cé­du­re d’ex­amen visée à l’ar­tic­le 62, para­gra­phe 2. La Com­mis­si­on coopè­re avec le réseau CSIRTS et l’E­NISA lors de l’é­la­bo­ra­ti­on des pro­jets d’ac­tes d’exécution.
Artic­le 15 Décla­ra­ti­ons volontaires
(1) Les fab­ri­cants et aut­res per­son­nes phy­si­ques ou mora­les peu­vent signal­er volon­tai­re­ment à un CSIRT dési­gné com­me coor­di­na­teur ou à l’E­NISA tou­te vul­né­ra­bi­li­té con­te­nue dans un pro­duit numé­ri­que, ain­si que les cyber­men­aces sus­cep­ti­bles d’a­voir une inci­dence sur le pro­fil de ris­que d’un pro­duit numérique.
(2) Les fab­ri­cants et aut­res per­son­nes phy­si­ques ou mora­les peu­vent, sur une base volon­tai­re, noti­fier à un CSIRT dési­gné com­me coor­di­na­teur ou à l’E­NISA tout inci­dent de sécu­ri­té affec­tant la sécu­ri­té du pro­duit numé­ri­que, ain­si que les inci­dents évi­tés de just­es­se qui aurai­ent pu con­dui­re à un tel inci­dent de sécurité.
(3) Le CSIRT ou l’E­NISA désigné(e) com­me coordinateur(trice) trai­te les noti­fi­ca­ti­ons visées aux para­gra­phes 1 et 2 con­for­mé­ment à la pro­cé­du­re pré­vue à l’ar­tic­le 16.
Le CSIRT dési­gné com­me coor­di­na­teur peut trai­ter les décla­ra­ti­ons obli­ga­toires en prio­ri­té par rap­port aux décla­ra­ti­ons volon­tai­res.
(4) Lorsqu’u­ne per­son­ne phy­si­que ou mora­le aut­re que le fab­ri­cant visé au para­gra­phe 1 ou 2 signa­le une vul­né­ra­bi­li­té acti­ve­ment exploi­tée ou un inci­dent de sécu­ri­té gra­ve affec­tant la sécu­ri­té d’un pro­duit numé­ri­que, le CSIRT dési­gné com­me coor­don­na­teur en infor­me immé­dia­te­ment le fabricant.
(5) Les CSIRT dési­gnés com­me coor­don­na­teurs et l’E­NISA veil­lent à la con­fi­den­tia­li­té et à la pro­tec­tion adé­qua­te des infor­ma­ti­ons trans­mi­ses par une per­son­ne phy­si­que ou mora­le déclar­an­te. Sans pré­ju­di­ce de la pré­ven­ti­on, de la recher­che, de la détec­tion et de la pour­suite d’in­frac­tions péna­les, les noti­fi­ca­ti­ons volon­tai­res n’ont pas pour effet d’im­po­ser à la per­son­ne phy­si­que ou mora­le noti­fi­an­te des obli­ga­ti­ons sup­p­lé­men­tai­res qui ne lui aurai­ent pas été impo­sées si elle n’a­vait pas trans­mis la notification.
Artic­le 16 Mise en place d’u­ne pla­te-for­me de noti­fi­ca­ti­on unique
(1) Aux fins des noti­fi­ca­ti­ons visées à l’ar­tic­le 14, para­gra­phes 1 et 3, et à l’ar­tic­le 15, para­gra­phes 1 et 2, et afin de sim­pli­fier les obli­ga­ti­ons de noti­fi­ca­ti­on des fab­ri­cants, l’E­NISA met en place une pla­te-for­me de noti­fi­ca­ti­on uni­que. L’ENISA gère et main­ti­ent le fonc­tion­ne­ment quo­ti­di­en de cet­te pla­te-for­me de noti­fi­ca­ti­on uni­que. L’ar­chi­tec­tu­re de la pla­te-for­me de noti­fi­ca­ti­on uni­que doit per­mett­re aux États mem­bres et à l’E­NISA de mett­re en place leurs pro­pres points de ter­mi­nai­son pour la noti­fi­ca­ti­on électronique.
(2) Dès récep­ti­on d’u­ne noti­fi­ca­ti­on, le CSIRT dési­gné com­me coor­di­na­teur qui reçoit initia­le­ment la noti­fi­ca­ti­on la trans­met sans délai, via la pla­te­for­me de noti­fi­ca­ti­on uni­que, aux CSIRT dési­gnés com­me coor­di­na­teurs sur le ter­ri­toire des­quels le pro­duit con­tenant des élé­ments numé­ri­ques a été mis à dis­po­si­ti­on selon les indi­ca­ti­ons du fabricant.
Dans des cir­con­stances excep­ti­on­nel­les et, en par­ti­cu­lier, à la deman­de du fab­ri­cant et comp­te tenu du degré de sen­si­bi­li­té des infor­ma­ti­ons noti­fi­ées indi­qué par le fab­ri­cant con­for­mé­ment à l’ar­tic­le 14, para­gra­phe 2, point a), du pré­sent règle­ment, la dif­fu­si­on de la noti­fi­ca­ti­on peut être repor­tée aus­si long­temps que stric­te­ment néces­saire pour des motifs légiti­mes liés à la cyber­sé­cu­ri­té, y com­pris lorsqu’u­ne vul­né­ra­bi­li­té fait l’ob­jet d’u­ne pro­cé­du­re coor­don­née de divul­ga­ti­on des vul­né­ra­bi­li­tés con­for­mé­ment à l’ar­tic­le 12, para­gra­phe 1, de la direc­ti­ve (UE) 2022/2555. Lorsqu’un CSIRT déci­de de rete­nir une noti­fi­ca­ti­on, il infor­me immé­dia­te­ment l’E­NISA de sa décis­i­on et four­nit à la fois une justi­fi­ca­ti­on de la réten­ti­on de la noti­fi­ca­ti­on et une indi­ca­ti­on du moment où il dif­fu­se­ra la noti­fi­ca­ti­on con­for­mé­ment à la pro­cé­du­re défi­nie dans le pré­sent para­gra­phe. L’ENISA peut aider le CSIRT à appli­quer des motifs de cyber­sé­cu­ri­té liés au report de la dif­fu­si­on de la noti­fi­ca­ti­on. Dans des cir­con­stances excep­ti­on­nel­les par­ti­cu­liè­res, lorsque le fab­ri­cant indi­que dans la noti­fi­ca­ti­on visée à l’ar­tic­le 14, para­gra­phe 2, point b), les élé­ments sui­vants :
a) que la vul­né­ra­bi­li­té signa­lée a été acti­ve­ment exploi­tée par un acteur mal­veil­lant et, selon les infor­ma­ti­ons dis­po­ni­bles, n’a pas été exploi­tée dans un État membre aut­re que celui du CSIRT dési­gné com­me coor­di­na­teur et auquel le fab­ri­cant a signa­lé la vulnérabilité ;
b) qu’u­ne dif­fu­si­on immé­dia­te plus lar­ge de la vul­né­ra­bi­li­té signa­lée con­dui­rait pro­ba­blem­ent à la four­ni­tu­re d’in­for­ma­ti­ons dont la divul­ga­ti­on serait con­trai­re aux inté­rêts essen­tiels de l’É­tat membre con­cer­né ; ou
c) que la vul­né­ra­bi­li­té signa­lée pré­sen­te un ris­que éle­vé immé­di­at pour la cyber­sé­cu­ri­té, résul­tant d’u­ne dif­fu­si­on plus large,
seu­les les infor­ma­ti­ons indi­quant que le fab­ri­cant a effec­tué une noti­fi­ca­ti­on, les infor­ma­ti­ons géné­ra­les sur le pro­duit, les infor­ma­ti­ons sur le type géné­ral d’ex­plo­ita­ti­on et les infor­ma­ti­ons indi­quant que des rai­sons de sécu­ri­té ont été invo­quées sont mises à la dis­po­si­ti­on de l’E­NISA en même temps, jus­qu’à ce que la noti­fi­ca­ti­on com­plè­te soit trans­mi­se aux CSIRT con­cer­nés et à l’E­NISA. Si, sur la base de ces infor­ma­ti­ons, l’E­NISA esti­me qu’il exi­ste un ris­que sys­té­mi­que pour la sécu­ri­té du mar­ché inté­ri­eur, elle recom­man­de au CSIRT qui a reçu la noti­fi­ca­ti­on de trans­mett­re la noti­fi­ca­ti­on com­plè­te aux aut­res CSIRT dési­gnés com­me coor­di­na­teurs et à l’E­NISA elle-même.
(3) Dès récep­ti­on d’u­ne noti­fi­ca­ti­on con­cer­nant une vul­né­ra­bi­li­té acti­ve­ment exploi­tée dans un pro­duit numé­ri­que ou un inci­dent de sécu­ri­té gra­ve affec­tant la sécu­ri­té d’un pro­duit numé­ri­que, les CSIRT dési­gnés com­me coor­di­na­teurs four­nis­sent aux auto­ri­tés de sur­veil­lan­ce du mar­ché de leur État membre respec­tif les infor­ma­ti­ons noti­fi­ées dont elles ont beso­in pour rem­plir leurs obli­ga­ti­ons au tit­re du pré­sent règlement.
(4) L’ENISA prend des mesu­res tech­ni­ques, opé­ra­ti­on­nel­les et orga­ni­sa­ti­on­nel­les appro­priées et pro­por­ti­onnées pour gérer les ris­ques liés à la sécu­ri­té de la pla­te-for­me de signa­le­ment uni­que et des infor­ma­ti­ons trans­mi­ses ou dif­fusées par le biais de la pla­te-for­me de signa­le­ment uni­que. Elle signa­le immé­dia­te­ment au réseau CSIRTS et à la Com­mis­si­on tout inci­dent de sécu­ri­té affec­tant la pla­te-for­me de signa­le­ment unique.
(5) L’ENISA, en coopé­ra­ti­on avec le réseau des CSIRTS, éla­bo­re et met en œuvre des spé­ci­fi­ca­ti­ons rela­ti­ves aux mesu­res tech­ni­ques, opé­ra­ti­on­nel­les et orga­ni­sa­ti­on­nel­les néces­saires à la mise en place, à la main­ten­an­ce et au fonc­tion­ne­ment sûr de la pla­te­for­me de signa­le­ment uni­que visée au para­gra­phe 1, y com­pris, au mini­mum, les mesu­res de sécu­ri­té liées à la mise en place, l’ex­plo­ita­ti­on et la main­ten­an­ce de la pla­te­for­me de signa­le­ment uni­que, ain­si que des points de ter­mi­nai­son du signa­le­ment élec­tro­ni­que mis en place par les CSIRT dési­gnés com­me coor­di­na­teurs au niveau natio­nal et par l’E­NISA au niveau de l’U­ni­on, y com­pris les aspects pro­cé­du­raux, afin de garan­tir que les infor­ma­ti­ons rela­ti­ves à ces vul­né­ra­bi­li­tés sont com­mu­ni­quées con­for­mé­ment à des pro­to­co­les de sécu­ri­té stricts et selon le prin­ci­pe du “beso­in d’en con­naît­re”, lorsqu’au­cu­ne mesu­re de cor­rec­tion ou d’at­té­nua­ti­on des ris­ques n’est dis­po­ni­ble pour une vul­né­ra­bi­li­té signalée.
(6) Lorsqu’u­ne vul­né­ra­bi­li­té acti­ve­ment exploi­tée a été por­tée à l’at­ten­ti­on d’un CSIRT dési­gné com­me coor­di­na­teur dans le cad­re d’u­ne pro­cé­du­re coor­don­née de divul­ga­ti­on des vul­né­ra­bi­li­tés visée à l’ar­tic­le 12, para­gra­phe 1, de la direc­ti­ve (UE) 2022/2555, le CSIRT dési­gné com­me coor­di­na­teur qui a initia­le­ment reçu la noti­fi­ca­ti­on peut, pour des motifs légiti­mes liés à la cyber­sé­cu­ri­té, dif­fé­rer la dif­fu­si­on de la noti­fi­ca­ti­on con­cer­née via la pla­te­for­me de noti­fi­ca­ti­on uni­que pen­dant une péri­ode n’ex­cé­dant pas le temps stric­te­ment néces­saire pour que les par­ties con­cer­nées par la pro­cé­du­re coor­don­née de divul­ga­ti­on des vul­né­ra­bi­li­tés don­nent leur accord à la divul­ga­ti­on. Cet­te exi­gence n’empêche pas les fab­ri­cants de noti­fier volon­tai­re­ment une tel­le vul­né­ra­bi­li­té con­for­mé­ment à la pro­cé­du­re défi­nie dans le pré­sent article.
Artic­le 17 Aut­res dis­po­si­ti­ons rela­ti­ves à l’é­ta­blis­se­ment de rapports
(1) L’ENISA peut com­mu­ni­quer au réseau euro­pé­en des cyber-orga­nis­mes de liai­son en cas de cri­se (EU-CyCLO­Ne), insti­tué par l’ar­tic­le 16 de la direc­ti­ve (UE) 2022/2555, les infor­ma­ti­ons noti­fi­ées con­for­mé­ment à l’ar­tic­le 14, para­gra­phes 1 et 3, et à l’ar­tic­le 15, para­gra­phes 1 et 2, du pré­sent règle­ment, lorsque ces infor­ma­ti­ons sont per­ti­nen­tes pour la gesti­on coor­don­née d’in­ci­dents et de cri­ses de cyber­sé­cu­ri­té de gran­de ampleur au niveau opé­ra­ti­on­nel. Aux fins de la déter­mi­na­ti­on de cet­te importance, l’E­NISA peut, le cas échéant, tenir comp­te des ana­ly­ses tech­ni­ques du réseau CSIRTS.
(2) Lorsqu’u­ne sen­si­bi­li­sa­ti­on du public est néces­saire pour pré­ve­nir ou atté­nuer un inci­dent de sécu­ri­té gra­ve affec­tant la sécu­ri­té du pro­duit numé­ri­que ou pour gérer un inci­dent de sécu­ri­té en cours, ou lorsque la divul­ga­ti­on de l’in­ci­dent de sécu­ri­té est autre­ment dans l’in­té­rêt du public, le CSIRT dési­gné com­me coor­di­na­teur de l’É­tat membre con­cer­né peut, après con­sul­ta­ti­on du fab­ri­cant con­cer­né et, le cas échéant, en coopé­ra­ti­on avec l’E­NISA, infor­mer le public de l’in­ci­dent de sécu­ri­té ou deman­der au fab­ri­cant de le faire.
(3) Tous les 24 mois, l’E­NISA éta­blit un rap­port tech­ni­que sur les ten­dan­ces émer­gen­tes en matiè­re de ris­ques de cyber­sé­cu­ri­té liés aux pro­duits con­tenant des élé­ments numé­ri­ques, sur la base des noti­fi­ca­ti­ons reçues con­for­mé­ment à l’ar­tic­le 14, para­gra­phes 1 et 3, et à l’ar­tic­le 15, para­gra­phes 1 et 2, du pré­sent règle­ment, et le sou­met au grou­pe de coopé­ra­ti­on insti­tué par l’ar­tic­le 14 de la direc­ti­ve (UE) 2022/2555. Le pre­mier rap­port de ce type est pré­sen­té dans les 24 mois sui­vant la date d’ap­pli­ca­ti­on des obli­ga­ti­ons énon­cées à l’ar­tic­le 14, para­gra­phes 1 et 3. L’ENISA inclut les infor­ma­ti­ons per­ti­nen­tes de ses rap­ports tech­ni­ques dans son rap­port sur l’é­tat de la cyber­sé­cu­ri­té dans l’U­ni­on, con­for­mé­ment à l’ar­tic­le 18 de la direc­ti­ve (UE) 2022/2555.
(4) La simp­le noti­fi­ca­ti­on en ver­tu de l’ar­tic­le 14, para­gra­phes 1 et 3, et de l’ar­tic­le 15, para­gra­phes 1 et 2, n’en­traî­ne pas de responsa­bi­li­té plus éle­vée pour la per­son­ne phy­si­que ou mora­le qui effec­tue la notification.
(5) Dès qu’u­ne mise à jour de sécu­ri­té ou tou­te aut­re for­me de mesu­re cor­rec­ti­ve ou d’at­té­nua­ti­on des ris­ques est dis­po­ni­ble, l’E­NISA, en accord avec le fab­ri­cant du pro­duit numé­ri­que con­cer­né, inclut la vul­né­ra­bi­li­té de noto­rié­té publi­que noti­fi­ée con­for­mé­ment à l’ar­tic­le 14, para­gra­phe 1, ou à l’ar­tic­le 15, para­gra­phe 1, du pré­sent règle­ment, dans la base de don­nées euro­pé­en­ne sur les vul­né­ra­bi­li­tés éta­b­lie con­for­mé­ment à l’ar­tic­le 12, para­gra­phe 2, de la direc­ti­ve (UE) 2022/2555.
(6) Les CSIRT dési­gnés com­me coor­don­na­teurs four­nis­sent une assi­stance au ser­vice d’as­si­stance aux pro­duc­teurs, et en par­ti­cu­lier aux pro­duc­teurs con­sidé­rés com­me des microentre­pri­ses ou des peti­tes ou moy­ennes ent­re­pri­ses, en ce qui con­cer­ne les obli­ga­ti­ons de décla­ra­ti­on visées à l’ar­tic­le 14.
Artic­le 18 Mandataires
(1) Un fab­ri­cant peut dési­gner un man­da­tai­re par écrit.
(2) Les obli­ga­ti­ons énon­cées à l’ar­tic­le 13, para­gra­phes 1 à 11, à l’ar­tic­le 13, para­gra­phe 12, pre­mier ali­néa, et à l’ar­tic­le 13, para­gra­phe 14, ne font pas par­tie de la mis­si­on du mandataire.
(3) Un man­da­tai­re exé­cu­te les tâches spé­ci­fi­ées dans le man­dat déli­v­ré par le fab­ri­cant. Le man­da­tai­re four­nit une copie du man­dat aux auto­ri­tés de sur­veil­lan­ce du mar­ché qui en font la deman­de. Le man­dat doit per­mett­re au man­da­tai­re d’ac­com­plir au moins les tâches suivantes :
a) tenir à la dis­po­si­ti­on des auto­ri­tés de sur­veil­lan­ce du mar­ché la décla­ra­ti­on UE de con­for­mi­té visée à l’ar­tic­le 28 et la docu­men­ta­ti­on tech­ni­que visée à l’ar­tic­le 31 pen­dant au moins dix ans à comp­ter de la mise sur le mar­ché du pro­duit numé­ri­que ou pen­dant la péri­ode d’as­si­stance, si cel­le-ci est plus longue
b) trans­mett­re à une auto­ri­té de sur­veil­lan­ce du mar­ché, à sa deman­de moti­vée, tou­tes les infor­ma­ti­ons et tous les docu­ments néces­saires pour démon­trer la con­for­mi­té du pro­duit aux élé­ments numériques
c) coopé­rer avec les auto­ri­tés de sur­veil­lan­ce du mar­ché, à leur deman­de, à tou­te mesu­re visa­nt à pré­ve­nir les ris­ques pré­sen­tés par un pro­duit con­tenant des élé­ments numé­ri­ques rele­vant des attri­bu­ti­ons du mandataire.
Artic­le 19 Obli­ga­ti­ons des importateurs
(1) Les impor­ta­teurs ne met­tent sur le mar­ché que des pro­duits con­tenant des élé­ments numé­ri­ques qui satis­font aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie I, et pour les­quels les pro­cé­du­res éta­b­lies par le fab­ri­cant sont con­for­mes aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie II.
(2) Avant de mett­re sur le mar­ché un pro­duit con­tenant des élé­ments numé­ri­ques, les impor­ta­teurs s’assu­rent que
a) le fab­ri­cant a appli­qué les pro­cé­du­res appro­priées d’éva­lua­ti­on de la con­for­mi­té visées à l’ar­tic­le 32 ;
b) le fab­ri­cant a éta­b­li la docu­men­ta­ti­on technique
c) le pro­duit numé­ri­que por­te le mar­quage CE visé à l’ar­tic­le 30 et est accom­pa­gné de la décla­ra­ti­on UE de con­for­mi­té visée à l’ar­tic­le 13, para­gra­phe 20, ain­si que des infor­ma­ti­ons et des ins­truc­tions desti­nées à l’uti­li­sa­teur visées à l’an­ne­xe II, dans une lan­gue aisé­ment com­pré­hen­si­ble par les uti­li­sa­teurs et les auto­ri­tés de sur­veil­lan­ce du marché ;
d) le fab­ri­cant respec­te les exi­gen­ces visées à l’ar­tic­le 13, para­gra­phes 15, 16 et 19.
Aux fins du pré­sent para­gra­phe, les impor­ta­teurs doi­vent être en mesu­re de pré­sen­ter les docu­ments néces­saires prou­vant le respect des exi­gen­ces fixées dans le pré­sent artic­le.
(3) Lorsqu’un impor­ta­teur con­sidè­re ou a des rai­sons de cro­i­re qu’un pro­duit inté­grant des élé­ments numé­ri­ques ou les pro­cé­du­res éta­b­lies par le fab­ri­cant ne sont pas con­for­mes au pré­sent règle­ment, il ne met pas le pro­duit sur le mar­ché avant d’a­voir éta­b­li la con­for­mi­té de ce pro­duit et des pro­cé­du­res éta­b­lies par le fab­ri­cant avec le pré­sent règle­ment. En out­re, si le pro­duit numé­ri­que pré­sen­te un ris­que important pour la cyber­sé­cu­ri­té, l’im­por­ta­teur en infor­me le fab­ri­cant et les auto­ri­tés de sur­veil­lan­ce du marché.
Lorsqu’un impor­ta­teur a des rai­sons de pen­ser qu’un pro­duit con­tenant des élé­ments numé­ri­ques peut pré­sen­ter un ris­que important pour la cyber­sé­cu­ri­té comp­te tenu de fac­teurs de ris­que non tech­ni­ques, il en infor­me les auto­ri­tés de sur­veil­lan­ce du mar­ché. Après avoir reçu cet­te infor­ma­ti­on, les auto­ri­tés de sur­veil­lan­ce du mar­ché sui­vent les pro­cé­du­res visées à l’ar­tic­le 54, para­gra­phe 2.
(4) Les impor­ta­teurs indi­quent leur nom, leur nom com­mer­cial enre­gi­stré ou leur mar­que dépo­sée, leur adres­se posta­le, leur adres­se élec­tro­ni­que ou tout aut­re moy­en de cont­act numé­ri­que et, le cas échéant, le site web sur lequel ils peu­vent être cont­ac­tés, soit sur le pro­duit numé­ri­que lui-même, soit sur son embal­la­ge ou dans la docu­men­ta­ti­on accom­pa­gnant le pro­duit numé­ri­que. Les coor­don­nées sont rédi­gées dans une lan­gue aisé­ment com­pré­hen­si­ble par les uti­li­sa­teurs et les auto­ri­tés de sur­veil­lan­ce du marché.
(5) Les impor­ta­teurs qui savent ou ont des rai­sons de cro­i­re qu’un pro­duit con­tenant des élé­ments numé­ri­ques qu’ils ont mis sur le mar­ché n’est pas con­for­me au pré­sent règle­ment pren­nent immé­dia­te­ment les mesu­res cor­rec­ti­ves néces­saires pour garan­tir la mise en con­for­mi­té de ce pro­duit con­tenant des élé­ments numé­ri­ques avec le pré­sent règle­ment ou, le cas échéant, pour reti­rer ce pro­duit du mar­ché ou le rappeler.
Dès que les impor­ta­teurs ont con­nais­sance d’u­ne vul­né­ra­bi­li­té dans le pro­duit con­tenant des élé­ments numé­ri­ques, ils en infor­ment immé­dia­te­ment le fab­ri­cant. En out­re, si le pro­duit numé­ri­que pré­sen­te un ris­que important pour la cyber­sé­cu­ri­té, les impor­ta­teurs en infor­ment immé­dia­te­ment les auto­ri­tés de sur­veil­lan­ce du mar­ché des États mem­bres dans les­quels ils ont mis le pro­duit numé­ri­que à dis­po­si­ti­on sur le mar­ché, en four­nis­sant des pré­cis­i­ons, notam­ment, sur la non-con­for­mi­té et les mesu­res cor­rec­ti­ves adop­tées.
(6) Les impor­ta­teurs tien­nent une copie de la décla­ra­ti­on UE de con­for­mi­té à la dis­po­si­ti­on des auto­ri­tés de sur­veil­lan­ce du mar­ché pen­dant au moins dix ans à comp­ter de la date à laquel­le le pro­duit numé­ri­que est mis sur le mar­ché, ou pen­dant la péri­ode de sou­ti­en si cel­le-ci est plus longue, et s’assu­rent qu’ils sont en mesu­re de pré­sen­ter la docu­men­ta­ti­on tech­ni­que à ces auto­ri­tés si elles en font la demande.
(7) Sur deman­de moti­vée de l’au­to­ri­té de sur­veil­lan­ce du mar­ché, les impor­ta­teurs lui com­mu­ni­quent, sur sup­port papier ou sous for­me élec­tro­ni­que, dans une lan­gue aisé­ment com­pré­hen­si­ble par l’au­to­ri­té, tou­tes les infor­ma­ti­ons et tous les docu­ments néces­saires pour démon­trer la con­for­mi­té du pro­duit numé­ri­que avec les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie I, et des pro­cé­du­res éta­b­lies par le fab­ri­cant avec les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie II. Ils coopè­rent avec cet­te auto­ri­té, à la deman­de de cel­le-ci, à tou­te mesu­re visa­nt à pré­ve­nir les ris­ques de cyber­sé­cu­ri­té liés à un pro­duit inté­grant des élé­ments numé­ri­ques qu’ils ont mis sur le marché.
(8) Si l’im­por­ta­teur d’un pro­duit numé­ri­que app­rend que le fab­ri­cant de ce pro­duit a ces­sé ses acti­vi­tés et n’est donc plus en mesu­re de rem­plir les obli­ga­ti­ons pré­vues par le pré­sent règle­ment, il en infor­me les auto­ri­tés de sur­veil­lan­ce du mar­ché con­cer­nées et, par tous les moy­ens dis­po­ni­bles et dans la mesu­re du pos­si­ble, les uti­li­sa­teurs des pro­duits numé­ri­ques mis sur le marché.
Artic­le 20 Obli­ga­ti­ons des distributeurs
(1) Lorsqu’ils met­tent à dis­po­si­ti­on sur le mar­ché un pro­duit con­tenant des élé­ments numé­ri­ques, les dis­tri­bu­teurs respec­tent les dis­po­si­ti­ons du pré­sent règle­ment avec tou­te la dili­gence requise.
(2) Avant de mett­re un pro­duit con­tenant des élé­ments numé­ri­ques à dis­po­si­ti­on sur le mar­ché, les dis­tri­bu­teurs véri­fi­ent si
a) le pro­duit com­por­te des élé­ments numé­ri­ques portant le mar­quage CE ;
b) le fab­ri­cant et l’im­por­ta­teur ont satis­fait aux exi­gen­ces visées à l’ar­tic­le 13, para­gra­phes 15, 16, 18, 19 et 20, et à l’ar­tic­le 19, para­gra­phe 4, et ont four­ni au dis­tri­bu­teur tous les docu­ments nécessaires.
(3) Lorsqu’un dis­tri­bu­teur con­sidè­re ou a des rai­sons de cro­i­re, sur la base des infor­ma­ti­ons dont il dis­po­se, qu’un pro­duit numé­ri­que ou les pro­cé­du­res éta­b­lies par le fab­ri­cant ne sont pas con­for­mes aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, il ne met pas le pro­duit numé­ri­que à dis­po­si­ti­on sur le mar­ché tant que ce pro­duit et les pro­cé­du­res éta­b­lies par le fab­ri­cant n’ont pas été ren­dus con­for­mes au pré­sent règle­ment. En out­re, si le pro­duit numé­ri­que pré­sen­te un ris­que important pour la cyber­sé­cu­ri­té, le dis­tri­bu­teur en infor­me immé­dia­te­ment le fab­ri­cant et les auto­ri­tés de sur­veil­lan­ce du marché.
(4) Les dis­tri­bu­teurs qui savent ou ont des rai­sons de cro­i­re, sur la base des infor­ma­ti­ons dont ils dis­po­sent, qu’un pro­duit numé­ri­que qu’ils ont mis à dis­po­si­ti­on sur le mar­ché ou les pro­cé­du­res éta­b­lies par son fab­ri­cant ne sont pas con­for­mes au pré­sent règle­ment veil­lent à ce que les mesu­res cor­rec­ti­ves néces­saires soi­ent pri­ses pour mett­re ce pro­duit numé­ri­que et les pro­cé­du­res éta­b­lies par son fab­ri­cant en con­for­mi­té ou, le cas échéant, pour reti­rer le pro­duit du mar­ché ou le rappeler.
Dès que les dis­tri­bu­teurs ont con­nais­sance d’u­ne vul­né­ra­bi­li­té dans le pro­duit con­tenant des élé­ments numé­ri­ques, ils en infor­ment immé­dia­te­ment le fab­ri­cant. En out­re, si le pro­duit numé­ri­que pré­sen­te un ris­que important pour la cyber­sé­cu­ri­té, les dis­tri­bu­teurs en infor­ment immé­dia­te­ment les auto­ri­tés de sur­veil­lan­ce du mar­ché des États mem­bres dans les­quels ils ont mis le pro­duit numé­ri­que à dis­po­si­ti­on sur le mar­ché, en four­nis­sant des pré­cis­i­ons, notam­ment, sur la non-con­for­mi­té et les mesu­res cor­rec­ti­ves adop­tées.
(5) Sur deman­de moti­vée de l’au­to­ri­té de sur­veil­lan­ce du mar­ché, les dis­tri­bu­teurs lui com­mu­ni­quent, sur sup­port papier ou sous for­me élec­tro­ni­que, dans une lan­gue aisé­ment com­pré­hen­si­ble par l’au­to­ri­té, tou­tes les infor­ma­ti­ons et tous les docu­ments néces­saires pour démon­trer la con­for­mi­té du pro­duit con­tenant des élé­ments numé­ri­ques et les pro­cé­du­res pré­vues par le fab­ri­cant dans le pré­sent règle­ment. Ils coopè­rent avec cet­te auto­ri­té, à sa deman­de, à tou­te mesu­re visa­nt à pré­ve­nir les ris­ques de cyber­sé­cu­ri­té liés à un pro­duit con­tenant des élé­ments numé­ri­ques qu’ils ont mis à dis­po­si­ti­on sur le marché.
(6) Si le dis­tri­bu­teur d’un pro­duit numé­ri­que app­rend, sur la base des infor­ma­ti­ons dont il dis­po­se, que le fab­ri­cant de ce pro­duit a ces­sé ses acti­vi­tés et n’est donc pas en mesu­re de rem­plir les obli­ga­ti­ons pré­vues par le pré­sent règle­ment, il en infor­me immé­dia­te­ment les auto­ri­tés de sur­veil­lan­ce du mar­ché con­cer­nées et, par tous les moy­ens dis­po­ni­bles et dans la mesu­re du pos­si­ble, les uti­li­sa­teurs des pro­duits numé­ri­ques mis sur le marché.
Artic­le 21 Cas dans les­quels les obli­ga­ti­ons des pro­duc­teurs s’ap­pli­quent éga­le­ment aux impor­ta­teurs et aux distributeurs
Un impor­ta­teur ou un dis­tri­bu­teur est con­sidé­ré com­me un fab­ri­cant aux fins du pré­sent règle­ment et est sou­mis aux obli­ga­ti­ons visées aux artic­les 13 et 14 lorsque cet impor­ta­teur ou ce dis­tri­bu­teur met un pro­duit numé­ri­que sur le mar­ché sous son pro­pre nom ou sa pro­pre mar­que ou appor­te une modi­fi­ca­ti­on sub­stan­ti­el­le à un pro­duit numé­ri­que déjà mis sur le marché. 
Artic­le 22 Aut­res cas dans les­quels les obli­ga­ti­ons des pro­duc­teurs s’appliquent
(1) Une per­son­ne phy­si­que ou mora­le, aut­re que le fab­ri­cant, l’im­por­ta­teur ou le dis­tri­bu­teur, qui appor­te une modi­fi­ca­ti­on sub­stan­ti­el­le au pro­duit numé­ri­que et met ce pro­duit à dis­po­si­ti­on sur le mar­ché, est con­sidé­rée com­me un fab­ri­cant aux fins du pré­sent règlement.
(2) La per­son­ne visée au para­gra­phe 1 du pré­sent artic­le est sou­mi­se aux obli­ga­ti­ons pré­vues aux artic­les 13 et 14 pour la par­tie du pro­duit con­tenant des élé­ments numé­ri­ques qui est affec­tée par la modi­fi­ca­ti­on sub­stan­ti­el­le ou, lorsque la modi­fi­ca­ti­on sub­stan­ti­el­le a une inci­dence sur la cyber­sé­cu­ri­té du pro­duit con­tenant des élé­ments numé­ri­ques dans son ensem­ble, pour l’en­sem­ble du produit.
Artic­le 23 Iden­ti­fi­ca­ti­on des opé­ra­teurs économiques
(1) Sur deman­de, les opé­ra­teurs éco­no­mi­ques trans­met­tent les infor­ma­ti­ons sui­van­tes aux auto­ri­tés de sur­veil­lan­ce du marché :
a) le nom et l’adres­se de tous les opé­ra­teurs éco­no­mi­ques auprès des­quels ils ont obte­nu des pro­duits con­tenant des élé­ments numériques,
b) si dis­po­ni­bles, le nom et l’adres­se de tous les opé­ra­teurs éco­no­mi­ques aux­quels ils ont four­ni des pro­duits con­tenant des élé­ments numériques.
(2) Les opé­ra­teurs éco­no­mi­ques doi­vent être en mesu­re de four­nir les infor­ma­ti­ons visées au para­gra­phe 1 pen­dant dix ans après l’ob­ten­ti­on du pro­duit con­tenant des élé­ments numé­ri­ques et pen­dant dix ans après la four­ni­tu­re du pro­duit con­tenant des élé­ments numériques.
Artic­le 24 Obli­ga­ti­ons des admi­ni­stra­teurs de logi­ciels à code source ouvert
(1) Les gesti­on­n­aires de logi­ciels à source ouver­te éla­bo­rent et docu­men­tent, de maniè­re véri­fia­ble, une poli­tique de cyber­sé­cu­ri­té visa­nt à encou­ra­ger le déve­lo­p­pe­ment d’un pro­duit sûr con­tenant des élé­ments numé­ri­ques et la gesti­on effi­cace des vul­né­ra­bi­li­tés par les déve­lo­p­peurs de ce pro­duit. Cet­te stra­té­gie encou­ra­ge éga­le­ment la noti­fi­ca­ti­on volon­tai­re des vul­né­ra­bi­li­tés par les déve­lo­p­peurs de ce pro­duit, con­for­mé­ment à l’ar­tic­le 15, et tient comp­te des spé­ci­fi­ci­tés du gesti­on­n­aire de logi­ciels à code source ouvert et des dis­po­si­ti­ons juri­di­ques et orga­ni­sa­ti­on­nel­les aux­quel­les il est sou­mis. Cet­te stra­té­gie cou­vre en par­ti­cu­lier les aspects liés à la docu­men­ta­ti­on, à la cor­rec­tion et à l’é­li­mi­na­ti­on des vul­né­ra­bi­li­tés et encou­ra­ge l’é­ch­an­ge d’in­for­ma­ti­ons sur les vul­né­ra­bi­li­tés détec­tées au sein de la com­mun­au­té open source.
(2) Les gesti­on­n­aires de logi­ciels à code source ouvert coopè­rent, à leur deman­de, avec les auto­ri­tés de sur­veil­lan­ce du mar­ché afin d’at­té­nuer les ris­ques de cyber­sé­cu­ri­té posés par un pro­duit con­tenant des élé­ments numé­ri­ques et con­sidé­ré com­me un logi­ciel lib­re et à code source ouvert.
Sur deman­de moti­vée d’u­ne auto­ri­té de sur­veil­lan­ce du mar­ché, les admi­ni­stra­teurs de logi­ciels à code source ouvert four­nis­sent à cet­te auto­ri­té, dans une lan­gue aisé­ment com­pré­hen­si­ble par elle, les docu­ments visés au para­gra­phe 1, sur sup­port papier ou sous for­me élec­tro­ni­que.
(3) Les obli­ga­ti­ons énon­cées à l’ar­tic­le 14, para­gra­phe 1, s’ap­pli­quent aux admi­ni­stra­teurs de logi­ciels à source ouver­te dans la mesu­re où ils par­ti­ci­pent au déve­lo­p­pe­ment des pro­duits numé­ri­ques. Les obli­ga­ti­ons énon­cées à l’ar­tic­le 14, para­gra­phes 3 et 8, s’ap­pli­quent aux gesti­on­n­aires de logi­ciels à source ouver­te dans la mesu­re où des inci­dents de sécu­ri­té gra­ves affec­tant la sécu­ri­té des pro­duits numé­ri­ques affec­tent les systè­mes de réseau et d’in­for­ma­ti­on four­nis par les gesti­on­n­aires de logi­ciels à source ouver­te pour le déve­lo­p­pe­ment de ces produits.
Artic­le 25 Cer­ti­fi­cat de sécu­ri­té pour les logi­ciels libres et à code source ouvert
Afin de faci­li­ter l’e­xer­ci­ce du devoir de vigi­lan­ce visé à l’ar­tic­le 13, para­gra­phe 5, notam­ment en ce qui con­cer­ne les fab­ri­cants qui intègrent des com­po­sants logi­ciels libres et à source ouver­te dans leurs pro­duits con­tenant des élé­ments numé­ri­ques, la Com­mis­si­on se voit con­fé­rer le pou­voir d’ad­op­ter des actes délé­gués con­for­mé­ment à l’ar­tic­le 61, afin de com­plé­ter le pré­sent règle­ment par la mise en place de pro­gram­mes volon­tai­res de cer­ti­fi­ca­ti­on de la sécu­ri­té per­met­tant aux con­cep­teurs ou aux uti­li­sa­teurs de pro­duits con­tenant des élé­ments numé­ri­ques con­sidé­rés com­me des logi­ciels libres et à source ouver­te, ain­si qu’à d’aut­res tiers, d’éva­luer la con­for­mi­té de ces pro­duits à tou­tes les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té ou à cer­tai­nes d’ent­re elles ou à d’aut­res obli­ga­ti­ons pré­vues par le pré­sent règlement. 
Artic­le 26 Lignes directrices
(1) Afin de faci­li­ter la mise en œuvre et d’assurer la cohé­rence de cel­le-ci, la Com­mis­si­on publie des lignes direc­tri­ces desti­nées à aider les opé­ra­teurs éco­no­mi­ques à appli­quer le pré­sent règle­ment, en met­tant par­ti­cu­liè­re­ment l’ac­cent sur la faci­li­ta­ti­on du respect de celui-ci par les micro, peti­tes et moy­ennes entreprises.
(2) Lorsque la Com­mis­si­on a l’in­ten­ti­on de four­nir des ori­en­ta­ti­ons con­for­mé­ment au para­gra­phe 1, elle abor­de au moins les aspects suivants :
a) le champ d’ap­pli­ca­ti­on du pré­sent règle­ment, en met­tant par­ti­cu­liè­re­ment l’ac­cent sur les solu­ti­ons de trai­te­ment des don­nées à distance et les logi­ciels libres et à code source ouvert,
b) l’ap­pli­ca­ti­on de péri­odes de sou­ti­en en ce qui con­cer­ne cer­tai­nes caté­go­ries de pro­duits con­tenant des élé­ments numériques ;
c) des lignes direc­tri­ces pour les fab­ri­cants sou­mis au pré­sent règle­ment et éga­le­ment sou­mis à la légis­la­ti­on d’har­mo­ni­sa­ti­on de l’U­ni­on aut­re que le pré­sent règle­ment ou à d’aut­res actes con­ne­xes de l’Union ;
d) la noti­on de modi­fi­ca­ti­on substantielle.
La Com­mis­si­on tient éga­le­ment à jour une liste faci­le­ment acce­s­si­ble des actes délé­gués et des actes d’exé­cu­ti­on adop­tés en ver­tu du pré­sent règle­ment.
(3) Lors de l’é­la­bo­ra­ti­on des lignes direc­tri­ces visées au pré­sent artic­le, la Com­mis­si­on con­sul­te les par­ties pren­an­tes concernées.

Cha­pit­re III Con­for­mi­té du pro­duit avec les élé­ments numériques 

Artic­le 27 Pré­somp­ti­on de conformité
(1) Les pro­duits com­portant des élé­ments numé­ri­ques et des pro­cé­du­res défi­nies par le fab­ri­cant qui sont con­for­mes à des nor­mes har­mo­ni­sées ou à des par­ties de nor­mes har­mo­ni­sées dont les réfé­ren­ces ont été publiées au Jour­nal offi­ci­el de l’U­ni­on euro­pé­en­ne béné­fi­ci­ent d’u­ne pré­somp­ti­on de con­for­mi­té aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, dans la mesu­re où ces exi­gen­ces sont cou­ver­tes par les nor­mes ou par­ties de nor­mes concernées.
Con­for­mé­ment à l’ar­tic­le 10, para­gra­phe 1, du règle­ment (UE) no 1025/2012, la Com­mis­si­on invi­te un ou plu­sieurs orga­nis­mes euro­pé­ens de nor­ma­li­sa­ti­on à éla­bo­rer des nor­mes har­mo­ni­sées pour les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énu­mé­rées à l’an­ne­xe I du pré­sent règle­ment. Lors de l’é­la­bo­ra­ti­on des deman­des de nor­ma­li­sa­ti­on au tit­re du pré­sent règle­ment, la Com­mis­si­on s’ef­force de tenir comp­te des nor­mes euro­pé­en­nes et inter­na­tio­na­les exi­stan­tes en matiè­re de cyber­sé­cu­ri­té qui sont en vigueur ou en cours d’é­la­bo­ra­ti­on, afin de faci­li­ter l’é­la­bo­ra­ti­on de nor­mes har­mo­ni­sées con­for­mé­ment au règle­ment (UE) no 1025/2012.
(2) La Com­mis­si­on peut adop­ter des actes d’exé­cu­ti­on éta­blis­sant des spé­ci­fi­ca­ti­ons com­mu­nes rela­ti­ves aux exi­gen­ces tech­ni­ques dont le respect per­met de satis­fai­re aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té défi­nies à l’an­ne­xe I pour les pro­duits con­tenant des élé­ments numé­ri­ques rele­vant du champ d’ap­pli­ca­ti­on du pré­sent règlement.
Ces actes d’exé­cu­ti­on ne peu­vent être adop­tés que si les con­di­ti­ons sui­van­tes sont rem­plies :
a) la Com­mis­si­on a deman­dé à un ou plu­sieurs orga­nis­mes euro­pé­ens de nor­ma­li­sa­ti­on, con­for­mé­ment à l’ar­tic­le 10, para­gra­phe 1, du règle­ment (UE) no 1025/2012, d’é­la­bo­rer une nor­me har­mo­ni­sée pour les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, et :
i) la com­man­de n’a pas été acceptée
ii) les nor­mes har­mo­ni­sées con­cer­nées par cet­te deman­de ne sont pas four­nies dans le délai fixé con­for­mé­ment à l’ar­tic­le 10, para­gra­phe 1, du règle­ment (UE) n° 1025/2012, ou
iii) les nor­mes har­mo­ni­sées ne cor­re­spon­dent pas au man­dat, et
b) aucu­ne réfé­rence n’a été publiée au Jour­nal offi­ci­el de l’U­ni­on euro­pé­en­ne, con­for­mé­ment au règle­ment (UE) no 1025/2012, à des nor­mes har­mo­ni­sées répond­ant aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té per­ti­nen­tes énon­cées à l’an­ne­xe I du pré­sent règle­ment, et il n’est pas pré­vu qu’u­ne tel­le réfé­rence soit publiée dans un délai raisonnable.
Ces actes d’exé­cu­ti­on sont adop­tés con­for­mé­ment à la pro­cé­du­re d’ex­amen visée à l’ar­tic­le 62, para­gra­phe 2.
(3) Avant d’é­la­bo­rer un pro­jet d’ac­te d’exé­cu­ti­on visé au para­gra­phe 2 du pré­sent artic­le, la Com­mis­si­on infor­me le comi­té visé à l’ar­tic­le 22 du règle­ment (UE) n° 1025/2012 qu’el­le esti­me que les con­di­ti­ons visées au para­gra­phe 2 du pré­sent artic­le sont remplies.
(4) Lorsqu’el­le éla­bo­re un pro­jet d’ac­te d’exé­cu­ti­on visé au para­gra­phe 2, la Com­mis­si­on tient comp­te des avis expri­més dans les ence­intes appro­priées et con­sul­te dûment tou­tes les par­ties pren­an­tes concernées.
(5) Les pro­duits com­portant des élé­ments numé­ri­ques et des pro­cé­du­res défi­nies par le fab­ri­cant qui sont con­for­mes aux spé­ci­fi­ca­ti­ons com­mu­nes éta­b­lies par l’ac­te d’exé­cu­ti­on visé au para­gra­phe 2 du pré­sent artic­le sont pré­su­més con­for­mes aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té défi­nies à l’an­ne­xe I, dans la mesu­re où les spé­ci­fi­ca­ti­ons com­mu­nes ou des par­ties de cel­les-ci cou­vrent ces exigences.
(6) Lorsqu’u­ne nor­me har­mo­ni­sée est adop­tée par un orga­nis­me euro­pé­en de nor­ma­li­sa­ti­on et pro­po­sée à la Com­mis­si­on en vue de la publi­ca­ti­on de sa réfé­rence au Jour­nal offi­ci­el de l’U­ni­on euro­pé­en­ne, la Com­mis­si­on éva­lue cet­te nor­me har­mo­ni­sée con­for­mé­ment au règle­ment (UE) n° 1025/2012. Lorsqu’u­ne réfé­rence à une nor­me har­mo­ni­sée est publiée au Jour­nal offi­ci­el de l’U­ni­on euro­pé­en­ne, la Com­mis­si­on abro­ge les actes d’exé­cu­ti­on visés au para­gra­phe 2 du pré­sent artic­le, ou une par­tie de ceux-ci, qui régis­sent les mêmes exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té que la nor­me harmonisée.
(7) Lorsqu’un État membre esti­me qu’u­ne spé­ci­fi­ca­ti­on com­mu­ne ne satis­fait pas entiè­re­ment aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, il en infor­me la Com­mis­si­on au moy­en d’u­ne expli­ca­ti­on cir­con­stan­ciée. La Com­mis­si­on éva­lue l’ex­pli­ca­ti­on détail­lée et peut, le cas échéant, modi­fier l’ac­te d’exé­cu­ti­on éta­blis­sant la spé­ci­fi­ca­ti­on com­mu­ne concernée.
(8) Les pro­duits com­portant des élé­ments numé­ri­ques et des pro­cé­du­res défi­nies par le fab­ri­cant, pour les­quels une décla­ra­ti­on UE de con­for­mi­té ou un cer­ti­fi­cat de cyber­sé­cu­ri­té a été déli­v­ré dans le cad­re d’un sché­ma euro­pé­en de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té adop­té con­for­mé­ment au règle­ment (UE) 2019/881, sont pré­su­més con­for­mes aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, pour autant que la décla­ra­ti­on UE de con­for­mi­té ou le cer­ti­fi­cat euro­pé­en de cyber­sé­cu­ri­té, ou des par­ties de ceux-ci, cou­vrent ces exigences.
(9) La Com­mis­si­on se voit con­fé­rer le pou­voir d’ad­op­ter des actes délé­gués con­for­mé­ment à l’ar­tic­le 61 afin de com­plé­ter le pré­sent règle­ment en iden­ti­fi­ant les sché­mas euro­pé­ens de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té adop­tés con­for­mé­ment au règle­ment (UE) 2019/881 qui peu­vent être uti­li­sés pour démon­trer la con­for­mi­té des pro­duits con­tenant des élé­ments numé­ri­ques avec les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I ou des par­ties de cel­les-ci. En out­re, la déliv­rance d’un cer­ti­fi­cat euro­pé­en de cyber­sé­cu­ri­té d’un niveau de con­fi­ance “moy­en” au moins, déli­v­ré dans le cad­re d’un tel sché­ma, sup­p­rime l’ob­li­ga­ti­on pour le fab­ri­cant de fai­re pro­cé­der à une éva­lua­ti­on de la con­for­mi­té par un tiers pour les exi­gen­ces con­cer­nées, pré­vue à l’ar­tic­le 32, para­gra­phe 2, points a) et b), et à l’ar­tic­le 32, para­gra­phe 3, points a) et b).
Artic­le 28 Décla­ra­ti­on de con­for­mi­té UE
(1) La décla­ra­ti­on UE de con­for­mi­té est éta­b­lie par le fab­ri­cant con­for­mé­ment à l’ar­tic­le 13, para­gra­phe 12, et indi­que que le respect des exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I a été démontré.
(2) La décla­ra­ti­on UE de con­for­mi­té est struc­tu­rée con­for­mé­ment au modè­le figu­rant à l’an­ne­xe V et con­ti­ent les élé­ments spé­ci­fi­és dans les pro­cé­du­res per­ti­nen­tes d’éva­lua­ti­on de la con­for­mi­té visées à l’an­ne­xe VIII. Une tel­le décla­ra­ti­on est mise à jour selon les beso­ins. Elle est rédi­gée dans les lan­gues pre­scri­tes par l’É­tat membre dans lequel le pro­duit con­tenant des élé­ments numé­ri­ques est com­mer­cia­li­sé ou mis à dis­po­si­ti­on sur le marché.
La décla­ra­ti­on UE sim­pli­fi­ée de con­for­mi­té visée à l’ar­tic­le 13, para­gra­phe 20, est éta­b­lie selon le modè­le figu­rant à l’an­ne­xe VI. Elle est rédi­gée dans les lan­gues exi­gées par l’É­tat membre dans lequel le pro­duit con­tenant des élé­ments numé­ri­ques est com­mer­cia­li­sé ou mis à dis­po­si­ti­on sur le mar­ché.
(3) Lorsqu’un pro­duit numé­ri­que est sou­mis à plu­sieurs légis­la­ti­ons de l’U­ni­on euro­pé­en­ne exi­geant cha­cu­ne une décla­ra­ti­on de con­for­mi­té UE, une décla­ra­ti­on de con­for­mi­té UE uni­que est éta­b­lie pour l’en­sem­ble de la légis­la­ti­on de l’U­ni­on. Cet­te décla­ra­ti­on doit men­ti­on­ner les actes juri­di­ques de l’U­ni­on con­cer­nés et leurs réfé­ren­ces au Jour­nal officiel.
(4) En éta­blis­sant la décla­ra­ti­on de con­for­mi­té UE, le fab­ri­cant assu­me la responsa­bi­li­té de la con­for­mi­té du pro­duit avec les élé­ments numériques.
(5) La Com­mis­si­on se voit con­fé­rer le pou­voir d’ad­op­ter des actes délé­gués, con­for­mé­ment à l’ar­tic­le 61, afin de com­plé­ter le pré­sent règle­ment en vue d’a­jou­ter, à la lumiè­re de l’é­vo­lu­ti­on tech­no­lo­gi­que, de nou­veaux élé­ments aux infor­ma­ti­ons mini­ma­les à four­nir dans la décla­ra­ti­on UE de con­for­mi­té, tel­les qu’el­les sont défi­nies à l’an­ne­xe V.
Artic­le 29 Prin­cipes géné­raux du mar­quage “CE
Les prin­cipes géné­raux de l’ar­tic­le 30 du règle­ment (CE) no 765/2008 s’ap­pli­quent au mar­quage CE. 
Artic­le 30 Règles et con­di­ti­ons d’ap­po­si­ti­on du mar­quage CE
(1) Le mar­quage “CE” est appo­sé de maniè­re visi­ble, lisi­ble et indé­lé­bi­le sur le pro­duit con­tenant des élé­ments numé­ri­ques. Si la natu­re du pro­duit con­tenant des élé­ments numé­ri­ques ne le per­met pas ou ne le justi­fie pas, le mar­quage CE est appo­sé sur l’em­bal­la­ge et sur la décla­ra­ti­on UE de con­for­mi­té visée à l’ar­tic­le 28 qui accom­pa­gne le pro­duit con­tenant des élé­ments numé­ri­ques. Pour les pro­duits con­tenant des élé­ments numé­ri­ques sous la for­me de logi­ciels, le mar­quage CE est appo­sé soit sur la décla­ra­ti­on UE de con­for­mi­té visée à l’ar­tic­le 28, soit sur le site web accom­pa­gnant le pro­duit logi­ciel. Dans ce der­nier cas, la sec­tion per­ti­nen­te du site web doit être faci­le­ment et direc­te­ment acce­s­si­ble aux consommateurs.
(2) En rai­son de la natu­re du pro­duit con­tenant des élé­ments numé­ri­ques, la hauteur du mar­quage CE appo­sé sur celui-ci peut être infé­ri­eu­re à 5 mm, à con­di­ti­on qu’il reste visi­ble et lisible.
(3) Le mar­quage “CE” est appo­sé avant la mise sur le mar­ché du pro­duit au moy­en d’é­lé­ments numé­ri­ques. Il peut être sui­vi d’un pic­to­gram­me ou d’un aut­re signe indi­quant un ris­que par­ti­cu­lier en matiè­re de cyber­sé­cu­ri­té ou une uti­li­sa­ti­on par­ti­cu­liè­re, à défi­nir par les actes d’exé­cu­ti­on visés au para­gra­phe 6.
(4) Le mar­quage “CE” est sui­vi du numé­ro d’i­den­ti­fi­ca­ti­on de l’or­ga­nis­me noti­fié lorsque celui-ci inter­vi­ent dans la pro­cé­du­re d’éva­lua­ti­on de la con­for­mi­té sur la base de l’assu­rance qua­li­té com­plè­te (sur la base du modu­le H) visée à l’ar­tic­le 32.
Le numé­ro d’i­den­ti­fi­ca­ti­on de l’or­ga­nis­me noti­fié est appo­sé soit par l’or­ga­nis­me lui-même, soit, selon ses ins­truc­tions, par le fab­ri­cant ou son man­da­tai­re.
(5) Les États mem­bres s’ap­pu­i­ent sur les méca­nis­mes exi­stants pour assurer la bon­ne mise en œuvre du système de mar­quage “CE” et pren­nent les mesu­res appro­priées en cas d’uti­li­sa­ti­on abu­si­ve de ce mar­quage. Si le pro­duit numé­ri­que est éga­le­ment cou­vert par une légis­la­ti­on d’har­mo­ni­sa­ti­on de l’U­ni­on aut­re que le pré­sent règle­ment, qui pré­voit éga­le­ment l’ap­po­si­ti­on du mar­quage CE, ce der­nier indi­que que le pro­duit satis­fait éga­le­ment aux exi­gen­ces de cet­te aut­re légis­la­ti­on d’har­mo­ni­sa­ti­on de l’Union.
(6) La Com­mis­si­on peut, au moy­en d’ac­tes d’exé­cu­ti­on, adop­ter des spé­ci­fi­ca­ti­ons tech­ni­ques con­cer­nant les éti­quet­tes, pic­to­gram­mes ou aut­res mar­ques rela­ti­ves à la sécu­ri­té des pro­duits numé­ri­ques, leurs péri­odes de pri­se en char­ge, ain­si que des méca­nis­mes visa­nt à pro­mou­voir leur uti­li­sa­ti­on et à sen­si­bi­li­ser le public à la sécu­ri­té des pro­duits numé­ri­ques. Lors de l’é­la­bo­ra­ti­on des pro­jets d’ac­tes d’exé­cu­ti­on, la Com­mis­si­on con­sul­te les par­ties pren­an­tes con­cer­nées et, si elle a déjà été éta­b­lie con­for­mé­ment à l’ar­tic­le 52, para­gra­phe 15, l’AD­CO. Ces actes d’exé­cu­ti­on sont adop­tés con­for­mé­ment à la pro­cé­du­re d’ex­amen visée à l’ar­tic­le 62, para­gra­phe 2.
Artic­le 31 Docu­men­ta­ti­on technique
(1) La docu­men­ta­ti­on tech­ni­que con­ti­ent tou­tes les don­nées per­ti­nen­tes ou des pré­cis­i­ons sur la maniè­re dont le fab­ri­cant garan­tit que le pro­duit numé­ri­que et les pro­cé­du­res éta­b­lies par le fab­ri­cant satis­font aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I. Elle con­ti­ent au moins les infor­ma­ti­ons visées à l’an­ne­xe VII.
(2) La docu­men­ta­ti­on tech­ni­que est éta­b­lie avec des élé­ments numé­ri­ques avant la mise sur le mar­ché du pro­duit et, le cas échéant, est mise à jour en per­ma­nence, au moins pen­dant la péri­ode de soutien.
(3) Dans le cas de dis­po­si­tifs com­prenant des élé­ments numé­ri­ques visés à l’ar­tic­le 12 et éga­le­ment sou­mis à d’aut­res actes légis­la­tifs de l’U­ni­on pré­voyant une docu­men­ta­ti­on tech­ni­que, il est éta­b­li une docu­men­ta­ti­on tech­ni­que uni­que con­tenant les infor­ma­ti­ons visées à l’an­ne­xe VII ain­si que les infor­ma­ti­ons requi­ses par les aut­res actes légis­la­tifs de l’Union.
(4) La docu­men­ta­ti­on tech­ni­que et la cor­re­spond­ance rela­ti­ve aux pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té sont rédi­gées dans une lan­gue offi­ci­el­le de l’É­tat membre où est éta­b­li l’or­ga­nis­me noti­fié ou dans une lan­gue accep­tée par celui-ci.
(5) La Com­mis­si­on se voit con­fé­rer le pou­voir d’ad­op­ter des actes délé­gués, con­for­mé­ment à l’ar­tic­le 61, en vue de com­plé­ter le pré­sent règle­ment par l’a­jout d’é­lé­ments à inclu­re dans la docu­men­ta­ti­on tech­ni­que visée à l’an­ne­xe VII, afin de tenir comp­te des évo­lu­ti­ons tech­ni­ques et de l’é­vo­lu­ti­on de la mise en œuvre du pré­sent règle­ment. À cet­te fin, la Com­mis­si­on s’ef­force de fai­re en sor­te que la char­ge admi­ni­stra­ti­ve pesant sur les micro, peti­tes et moy­ennes ent­re­pri­ses soit proportionnée.
Artic­le 32 Pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té pour les pro­duits con­tenant des élé­ments numériques
(1) Le fab­ri­cant procè­de à une éva­lua­ti­on de la con­for­mi­té du pro­duit à l’ai­de d’é­lé­ments numé­ri­ques et de pro­cé­du­res éta­b­lies par le fab­ri­cant afin de déter­mi­ner si les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I sont satis­fai­tes. Le fab­ri­cant appor­te la preuve de la con­for­mi­té aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té par l’un des moy­ens suivants :
a) la pro­cé­du­re de con­trô­le inter­ne (basée sur le modu­le A) visée à l’an­ne­xe VIII
b) pro­cé­du­re d’ex­amen UE de type (sur la base du modu­le B) visée à l’an­ne­xe VIII, puis con­for­mi­té au type UE sur la base du con­trô­le inter­ne de la fab­ri­ca­ti­on (sur la base du modu­le C) visée à l’an­ne­xe VIII
c) l’éva­lua­ti­on de la con­for­mi­té sur la base de l’assu­rance qua­li­té com­plè­te (sur la base du modu­le H) visée à l’an­ne­xe VIII ; ou
d) lorsqu’il est dis­po­ni­ble et appli­ca­ble, un sché­ma euro­pé­en de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té, con­for­mé­ment à l’ar­tic­le 27, para­gra­phe 9.
(2) Lorsque le fab­ri­cant n’a pas appli­qué, ou n’a appli­qué que par­ti­el­le­ment, des nor­mes har­mo­ni­sées, des spé­ci­fi­ca­ti­ons com­mu­nes ou des systè­mes euro­pé­ens de cer­ti­fi­ca­ti­on en matiè­re de cyber­sé­cu­ri­té d’un niveau de con­fi­ance “moy­en” au moins, con­for­mé­ment à l’ar­tic­le 27, lors de l’éva­lua­ti­on de la con­for­mi­té d’un pro­duit important con­tenant des élé­ments numé­ri­ques rele­vant de la clas­se I, tel que défi­ni à l’an­ne­xe III, et des pro­cé­du­res éta­b­lies par le fab­ri­cant avec les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, ou lorsque de tel­les nor­mes har­mo­ni­sées, spé­ci­fi­ca­ti­ons com­mu­nes ou des systè­mes euro­pé­ens de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té n’e­xi­stent pas, les pro­duits con­tenant des élé­ments numé­ri­ques et les pro­cé­du­res éta­b­lies par le fab­ri­cant en ce qui con­cer­ne les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té sont sou­mis à l’u­ne des pro­cé­du­res suivantes :
a) la pro­cé­du­re d’ex­amen UE de type (basée sur le modu­le B) visée à l’an­ne­xe VIII, sui­vie de la con­for­mi­té au type UE sur la base du con­trô­le inter­ne de la fab­ri­ca­ti­on (basé sur le modu­le C) visé à l’an­ne­xe VIII, ou
b) une éva­lua­ti­on de la con­for­mi­té fon­dée sur l’assu­rance qua­li­té com­plè­te (sur la base du modu­le H), con­for­mé­ment à l’an­ne­xe VIII.
(3) Si le pro­duit est un pro­duit important con­tenant des élé­ments numé­ri­ques et rele­vant de la clas­se II au sens de l’an­ne­xe III, le fab­ri­cant appor­te la preuve de la con­for­mi­té aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I par l’un des moy­ens suivants :
a) Pro­cé­du­re d’ex­amen UE de type (sur la base du modu­le B) visée à l’an­ne­xe VIII, puis con­for­mi­té au type UE sur la base du con­trô­le inter­ne de la fab­ri­ca­ti­on (sur la base du modu­le C) visé à l’an­ne­xe VIII ;
b) une éva­lua­ti­on de la con­for­mi­té sur la base de l’assu­rance qua­li­té com­plè­te (sur la base du modu­le H) visée à l’an­ne­xe VIII, ou
c) lorsqu’il est dis­po­ni­ble et appli­ca­ble, un sché­ma euro­pé­en de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té, con­for­mé­ment à l’ar­tic­le 27, para­gra­phe 9, du pré­sent règle­ment, au moins au niveau de con­fi­ance “moy­en” tel que défi­ni dans le règle­ment (UE) 2019/881.
(4) Pour les pro­duits cri­ti­ques con­tenant des élé­ments numé­ri­ques énu­mé­rés à l’an­ne­xe IV, la preuve de la con­for­mi­té aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I est appor­tée par l’un des moy­ens suivants :
a) un sché­ma euro­pé­en de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té visé à l’ar­tic­le 8, para­gra­phe 1, ou
b) si les con­di­ti­ons pré­vues à l’ar­tic­le 8, para­gra­phe 1, ne sont pas rem­plies, l’u­ne des pro­cé­du­res visées au para­gra­phe 3.
(5) Les fab­ri­cants de pro­duits con­tenant des élé­ments numé­ri­ques con­sidé­rés com­me des logi­ciels libres et à source ouver­te et rele­vant des caté­go­ries énu­mé­rées à l’an­ne­xe III peu­vent démon­trer la con­for­mi­té aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I en uti­li­sant l’u­ne des pro­cé­du­res visées au para­gra­phe 1 du pré­sent artic­le, à con­di­ti­on que la docu­men­ta­ti­on tech­ni­que visée à l’ar­tic­le 31 soit mise à la dis­po­si­ti­on du public au moment de la mise sur le mar­ché de ces produits.
(6) Lors de la fix­a­ti­on des rede­van­ces d’éva­lua­ti­on de la con­for­mi­té, il est tenu comp­te des inté­rêts et des beso­ins par­ti­cu­liers des microentre­pri­ses et des peti­tes et moy­ennes ent­re­pri­ses, y com­pris les jeu­nes ent­re­pri­ses, et ces rede­van­ces sont rédui­tes pro­por­ti­on­nel­le­ment à leurs inté­rêts et beso­ins particuliers.
Artic­le 33 Mesu­res de sou­ti­en aux micro, peti­tes et moy­ennes ent­re­pri­ses, y com­pris les jeu­nes entreprises
(1) Les États mem­bres pren­nent, le cas échéant, les mesu­res sui­van­tes, adap­tées aux beso­ins des micro et peti­tes entreprises :
a) orga­ni­s­er des actions spé­ci­fi­ques de sen­si­bi­li­sa­ti­on et de for­ma­ti­on à l’ap­pli­ca­ti­on du pré­sent règlement,
b) mett­re en place un canal de com­mu­ni­ca­ti­on spé­ci­fi­que pour les micro et peti­tes ent­re­pri­ses et, le cas échéant, pour les auto­ri­tés loca­les, afin de four­nir des con­seils sur la mise en œuvre du pré­sent règle­ment et de répond­re aux questions,
c) sou­ti­en aux acti­vi­tés d’es­sai et d’éva­lua­ti­on de la con­for­mi­té, y com­pris, si néces­saire, avec l’ai­de du Cent­re euro­pé­en d’ex­per­ti­se en cybersécurité.
(2) Les États mem­bres peu­vent, si néces­saire, cré­er des labo­ra­toires réels pour la cyber-rési­li­ence. Ces labo­ra­toires réels pré­voi­ent des envi­ron­ne­ments d’es­sai con­trôlés pour les pro­duits inno­vants con­tenant des élé­ments numé­ri­ques, afin de faci­li­ter leur déve­lo­p­pe­ment, leur con­cep­ti­on, leur vali­da­ti­on et leur expé­ri­men­ta­ti­on aux fins du respect du pré­sent règle­ment pen­dant une péri­ode limi­tée avant leur mise sur le mar­ché. La Com­mis­si­on et, le cas échéant, l’E­NISA peu­vent four­nir une assi­stance tech­ni­que, des con­seils et des outils pour la mise en place et le fonc­tion­ne­ment de labo­ra­toires réels. Les labo­ra­toires réels sont étab­lis sous la super­vi­si­on, la direc­tion et le sou­ti­en directs des auto­ri­tés de sur­veil­lan­ce du mar­ché. Les États mem­bres infor­ment la Com­mis­si­on et les aut­res auto­ri­tés de sur­veil­lan­ce du mar­ché de la créa­ti­on d’un labo­ra­toire réel par l’in­ter­mé­di­ai­re d’AD­CO. Les labo­ra­toires réa­li­stes ne portent pas att­ein­te aux pou­voirs de sur­veil­lan­ce et de répa­ra­ti­on des auto­ri­tés com­pé­ten­tes. Les États mem­bres garan­tis­sent un accès ouvert, équi­ta­ble et trans­pa­rent aux labo­ra­toires réels et faci­li­tent notam­ment l’ac­cès des micro et peti­tes ent­re­pri­ses, y com­pris les start-up.
(3) Con­for­mé­ment à l’ar­tic­le 26, la Com­mis­si­on four­nit des lignes direc­tri­ces aux micro, peti­tes et moy­ennes ent­re­pri­ses con­cer­nant l’ap­pli­ca­ti­on du pré­sent règlement.
(4) La Com­mis­si­on four­nit des infor­ma­ti­ons sur les aides finan­ciè­res dis­po­ni­bles dans le cad­re juri­di­que des pro­gram­mes exi­stants de l’U­ni­on, afin d’al­lé­ger la char­ge finan­ciè­re pesant notam­ment sur les micro et peti­tes entreprises.
(5) Les micro et peti­tes ent­re­pri­ses peu­vent pré­sen­ter tous les élé­ments de la docu­men­ta­ti­on tech­ni­que visés à l’an­ne­xe VII dans un for­mat sim­pli­fié. cet­te fin, la Com­mis­si­on défi­nit, au moy­en d’ac­tes d’exé­cu­ti­on, le for­mu­lai­re sim­pli­fié de la docu­men­ta­ti­on tech­ni­que adap­té aux beso­ins des micro et peti­tes ent­re­pri­ses, y com­pris la maniè­re dont les élé­ments énu­mé­rés à l’an­ne­xe VII doi­vent être pré­sen­tés. Lorsqu’u­ne microentre­pri­se ou une peti­te ent­re­pri­se choi­sit de four­nir les infor­ma­ti­ons requi­ses à l’an­ne­xe VII de maniè­re sim­pli­fi­ée, elle uti­li­se le for­mu­lai­re visé au pré­sent para­gra­phe. Les orga­nis­mes noti­fi­és accept­ent ce for­mu­lai­re aux fins de l’éva­lua­ti­on de la conformité.
Ces actes d’exé­cu­ti­on sont adop­tés con­for­mé­ment à la pro­cé­du­re d’ex­amen visée à l’ar­tic­le 62, para­gra­phe 2. 
Artic­le 34 Accords de recon­nais­sance mutuelle
Comp­te tenu du niveau de déve­lo­p­pe­ment tech­ni­que et de l’appro­che adop­tée par un pays tiers en matiè­re d’éva­lua­ti­on de la con­for­mi­té, l’U­ni­on peut con­clu­re des accords de recon­nais­sance mutu­el­le avec des pays tiers, con­for­mé­ment à l’ar­tic­le 218 du TFUE, afin de pro­mou­voir et de faci­li­ter les éch­an­ges internationaux. 

Cha­pit­re IV Noti­fi­ca­ti­on des orga­nis­mes d’éva­lua­ti­on de la conformité 

Artic­le 35 Notification
(1) Les États mem­bres noti­fi­ent à la Com­mis­si­on et aux aut­res États mem­bres les orga­nis­mes auto­ri­sés à effec­tuer des éva­lua­tions de la con­for­mi­té en ver­tu du pré­sent règlement.
(2) Au plus tard le 11 décembre 2026, les États mem­bres veil­lent à ce qu’il y ait dans l’U­ni­on un nombre suf­fi­sant d’or­ga­nis­mes noti­fi­és capa­bles d’ef­fec­tuer des éva­lua­tions de la con­for­mi­té, afin d’é­vi­ter les gou­lets d’étran­gle­ment et les obs­ta­cles à l’ac­cès au marché.
Artic­le 36 Auto­ri­tés de notification
(1) Chaque État membre dési­gne une auto­ri­té noti­fi­an­te responsable de la mise en place et de l’ap­pli­ca­ti­on des pro­cé­du­res néces­saires à l’éva­lua­ti­on, à la dési­gna­ti­on et à la noti­fi­ca­ti­on des orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té, ain­si qu’à leur con­trô­le, y com­pris le respect de l’ar­tic­le 41.
(2) Les États mem­bres peu­vent déci­der que l’éva­lua­ti­on et le con­trô­le visés au para­gra­phe 1 du pré­sent artic­le sont effec­tués par un orga­nis­me natio­nal d’ac­cré­di­ta­ti­on au sens du règle­ment (CE) no 765/2008 et con­for­mé­ment à celui-ci.
(3) Si l’au­to­ri­té noti­fi­an­te délè­gue ou con­fie d’u­ne aut­re maniè­re l’éva­lua­ti­on, la noti­fi­ca­ti­on ou le con­trô­le visés au para­gra­phe 1 du pré­sent artic­le à un orga­nis­me non gou­ver­ne­men­tal, cet orga­nis­me doit être une per­son­ne mora­le et se con­for­mer, muta­tis mut­an­dis, à l’ar­tic­le 37. En out­re, cet orga­nis­me doit prend­re des dis­po­si­ti­ons pour cou­vr­ir les responsa­bi­li­tés décou­lant de ses activités.
(4) L’au­to­ri­té noti­fi­an­te assu­me l’en­tiè­re responsa­bi­li­té des acti­vi­tés menées par l’or­ga­nis­me visé au para­gra­phe 3.
Artic­le 37 Exi­gen­ces appli­ca­bles aux auto­ri­tés notifiantes
(1) Les auto­ri­tés de noti­fi­ca­ti­on sont éta­b­lies de maniè­re à évi­ter tout con­flit d’in­té­rêts avec les orga­nis­mes d’éva­lua­ti­on de la conformité.
(2) Les auto­ri­tés noti­fi­an­tes garan­tis­sent, par leur orga­ni­sa­ti­on et leur fonc­tion­ne­ment, l’ob­jec­ti­vi­té et l’im­par­tia­li­té de leurs activités.
(3) Les auto­ri­tés de noti­fi­ca­ti­on sont struc­tu­rées de maniè­re à ce que chaque décis­i­on rela­ti­ve à la noti­fi­ca­ti­on d’un orga­nis­me d’éva­lua­ti­on de la con­for­mi­té soit pri­se par des per­son­nes com­pé­ten­tes, dif­fé­ren­tes de cel­les qui ont réa­li­sé l’évaluation.
(4) Les auto­ri­tés noti­fi­an­tes ne pro­po­sent ni ne four­nis­sent aucu­ne acti­vi­té réa­li­sée par des orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té, ni aucun ser­vice de con­seil sur une base com­mer­cia­le ou concurrentielle.
(5) Les auto­ri­tés noti­fi­an­tes garan­tis­sent la con­fi­den­tia­li­té des infor­ma­ti­ons qu’el­les obtiennent.
(6) Une auto­ri­té noti­fi­an­te dis­po­se d’un per­son­nel com­pé­tent et en nombre suf­fi­sant pour s’ac­quit­ter cor­rec­te­ment de ses tâches.
Artic­le 38 Obli­ga­ti­ons d’in­for­ma­ti­on des auto­ri­tés notifiantes
(1) Les États mem­bres infor­ment la Com­mis­si­on de leurs pro­cé­du­res d’éva­lua­ti­on et de noti­fi­ca­ti­on des orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té et de con­trô­le des orga­nis­mes noti­fi­és, ain­si que des modi­fi­ca­ti­ons appor­tées à ces procédures.
(2) La Com­mis­si­on met les infor­ma­ti­ons visées au para­gra­phe 1 à la dis­po­si­ti­on du public.
Artic­le 39 Exi­gen­ces appli­ca­bles aux orga­nis­mes notifiés
(1) Aux fins de la noti­fi­ca­ti­on, les orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té répon­dent aux exi­gen­ces énon­cées aux para­gra­phes 2 à 12.
(2) Un orga­nis­me d’éva­lua­ti­on de la con­for­mi­té est créé en ver­tu du droit natio­nal et est doté de la per­son­na­li­té juridique.
(3) Un orga­nis­me d’éva­lua­ti­on de la con­for­mi­té est un tiers indé­pen­dant de l’or­ga­ni­sa­ti­on ou du pro­duit con­tenant des élé­ments numé­ri­ques qui est évalué.
Un orga­nis­me appar­tenant à une asso­cia­ti­on pro­fes­si­on­nel­le ou à une fédé­ra­ti­on pro­fes­si­on­nel­le qui éva­lue des pro­duits con­tenant des élé­ments numé­ri­ques dans la con­cep­ti­on, le déve­lo­p­pe­ment, la fab­ri­ca­ti­on, la four­ni­tu­re, l’as­sem­bla­ge, l’uti­li­sa­ti­on ou l’en­tre­ti­en des­quels inter­vi­en­nent des ent­re­pri­ses repré­sen­tées par cet­te asso­cia­ti­on peut être con­sidé­ré com­me un tel tiers indé­pen­dant, à con­di­ti­on que son indé­pen­dance et l’ab­sence de tout con­flit d’in­té­rêts soi­ent démon­trées.
(4) Un orga­nis­me d’éva­lua­ti­on de la con­for­mi­té, ses cad­res supé­ri­eurs et le per­son­nel char­gé d’exé­cu­ter les tâches d’éva­lua­ti­on de la con­for­mi­té ne peu­vent être le con­cep­teur, le déve­lo­p­peur, le fab­ri­cant, le four­nis­seur, l’im­por­ta­teur, le dis­tri­bu­teur, l’in­stal­la­teur, l’a­che­teur, le pro­prié­tai­re, l’uti­li­sa­teur ou le responsable de l’en­tre­ti­en des pro­duits numé­ri­ques qu’ils éva­lu­ent, ni le man­da­tai­re d’au­cu­ne de ces par­ties. Cela n’ex­clut pas l’uti­li­sa­ti­on de pro­duits ayant déjà fait l’ob­jet d’u­ne éva­lua­ti­on de la con­for­mi­té et qui sont néces­saires aux acti­vi­tés de l’or­ga­nis­me d’éva­lua­ti­on de la con­for­mi­té, ni l’uti­li­sa­ti­on de ces pro­duits pour un usa­ge personnel.
Un orga­nis­me d’éva­lua­ti­on de la con­for­mi­té, ses cad­res supé­ri­eurs et le per­son­nel char­gé d’exé­cu­ter les tâches d’éva­lua­ti­on de la con­for­mi­té ne peu­vent inter­ve­nir direc­te­ment dans la con­cep­ti­on, le déve­lo­p­pe­ment, la fab­ri­ca­ti­on, l’im­por­ta­ti­on, la dis­tri­bu­ti­on, la com­mer­cia­li­sa­ti­on, l’in­stal­la­ti­on, l’uti­li­sa­ti­on ou l’en­tre­ti­en de ces pro­duits com­portant des élé­ments numé­ri­ques qu’ils éva­lu­ent, ni repré­sen­ter les par­ties enga­gées dans ces acti­vi­tés. Ils ne doi­vent pas s’en­ga­ger dans des acti­vi­tés sus­cep­ti­bles de com­pro­mett­re leur indé­pen­dance d’ap­pré­cia­ti­on ou leur inté­gri­té dans le cad­re des acti­vi­tés d’éva­lua­ti­on de la con­for­mi­té pour les­quel­les ils sont noti­fi­és. Cela s’ap­pli­que en par­ti­cu­lier aux ser­vices de con­seil. Les orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té veil­lent à ce que les acti­vi­tés de leurs filia­les ou sous-trai­tants ne com­pro­met­tent pas la con­fi­den­tia­li­té, l’ob­jec­ti­vi­té ou l’im­par­tia­li­té de leurs acti­vi­tés d’éva­lua­ti­on de la con­for­mi­té.
(5) Les orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té et leur per­son­nel exer­cent les acti­vi­tés d’éva­lua­ti­on de la con­for­mi­té avec le plus grand pro­fes­si­on­na­lis­me et la plus gran­de com­pé­tence tech­ni­que pos­si­ble dans le domaine con­cer­né et sont à l’a­b­ri de tou­te pres­si­on et inci­ta­ti­on, notam­ment d’ord­re finan­cier, sus­cep­ti­bles d’in­fluen­cer leur juge­ment ou les résul­tats de leurs travaux d’éva­lua­ti­on de la con­for­mi­té, en par­ti­cu­lier de la part de per­son­nes ou de grou­pes de per­son­nes inté­res­sées par les résul­tats de ces activités.
(6) Un orga­nis­me d’éva­lua­ti­on de la con­for­mi­té est capa­ble d’exé­cu­ter tou­tes les tâches d’éva­lua­ti­on de la con­for­mi­té qui lui ont été assi­gnées en ver­tu de l’an­ne­xe VIII et pour les­quel­les il a été noti­fié, que ces tâches soi­ent exé­cu­tées par l’or­ga­nis­me lui-même, en son nom ou sous sa responsabilité.
Un orga­nis­me d’éva­lua­ti­on de la con­for­mi­té dis­po­se à tout moment, pour chaque pro­cé­du­re d’éva­lua­ti­on de la con­for­mi­té et pour chaque type et caté­go­rie de pro­duits con­tenant des élé­ments numé­ri­ques pour les­quels il a été noti­fié, de
a) le per­son­nel néces­saire ayant les con­nais­sances et l’expé­ri­ence suf­fi­san­te et per­ti­nen­te pour effec­tuer les tâches d’éva­lua­ti­on de la conformité ;
b) des descrip­ti­ons des pro­cé­du­res selon les­quel­les l’éva­lua­ti­on de la con­for­mi­té doit être effec­tuée, afin de garan­tir la trans­pa­rence et la repro­duc­ti­bi­li­té de ces pro­cé­du­res. Il dis­po­se d’un cahier des char­ges appro­prié et de pro­cé­du­res adé­qua­tes éta­blis­sant une distinc­tion ent­re les tâches qu’il accom­plit en tant qu’or­ga­nis­me noti­fié et les aut­res activités ;
c) Pro­cé­du­re de réa­li­sa­ti­on d’ac­ti­vi­tés tenant dûment comp­te de la tail­le d’u­ne ent­re­pri­se, du sec­teur dans lequel elle opè­re, de sa struc­tu­re, du degré de com­ple­xi­té de la tech­no­lo­gie du pro­duit con­cer­né et de la natu­re de pro­duc­tion de mas­se ou de série du pro­ce­s­sus de fabrication.
Un orga­nis­me d’éva­lua­ti­on de la con­for­mi­té dis­po­se des moy­ens néces­saires pour accom­plir de maniè­re adé­qua­te les tâches tech­ni­ques et admi­ni­stra­ti­ves liées aux acti­vi­tés d’éva­lua­ti­on de la con­for­mi­té et a accès à tous les équi­pe­ments ou instal­la­ti­ons néces­saires.
(7) Le per­son­nel char­gé d’ef­fec­tuer les acti­vi­tés d’éva­lua­ti­on de la con­for­mi­té doit dis­po­ser des élé­ments suivants :
a) une soli­de for­ma­ti­on tech­ni­que et pro­fes­si­on­nel­le couvrant tou­tes les acti­vi­tés d’éva­lua­ti­on de la con­for­mi­té dans le domaine pour lequel l’or­ga­nis­me d’éva­lua­ti­on de la con­for­mi­té a été notifié ;
b) une con­nais­sance satis­fais­an­te des exi­gen­ces liées aux éva­lua­tions à effec­tuer et l’au­to­ri­té appro­priée pour effec­tuer ces évaluations ;
c) une con­nais­sance et une com­pré­hen­si­on adé­qua­tes des exi­gen­ces essen­ti­el­les en matiè­re de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, des nor­mes har­mo­ni­sées et des spé­ci­fi­ca­ti­ons com­mu­nes appli­ca­bles, ain­si que de la légis­la­ti­on d’har­mo­ni­sa­ti­on per­ti­nen­te de l’U­ni­on et de ses dis­po­si­ti­ons d’application ;
d) la capa­ci­té de rédi­ger des cer­ti­fi­cats, des procès-ver­baux et des rap­ports com­me preuve des éva­lua­tions effectuées.
(8) L’im­par­tia­li­té des orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té, de leurs cad­res supé­ri­eurs et de leur per­son­nel d’éva­lua­ti­on doit être garantie.
La rému­n­é­ra­ti­on des cad­res supé­ri­eurs et du per­son­nel d’éva­lua­ti­on de l’or­ga­nis­me d’éva­lua­ti­on de la con­for­mi­té ne doit pas dépend­re du nombre d’éva­lua­tions effec­tuées ou de leurs résul­tats.
(9) Les orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té sou­scri­vent une assu­rance de responsa­bi­li­té civi­le, à moins que cet­te responsa­bi­li­té ne soit cou­ver­te en ver­tu du droit natio­nal de leur État membre ou que l’É­tat membre lui-même ne soit direc­te­ment responsable de l’éva­lua­ti­on de la conformité.
(10) Les infor­ma­ti­ons obte­nues par le per­son­nel d’un orga­nis­me d’éva­lua­ti­on de la con­for­mi­té dans l’e­xer­ci­ce de ses fonc­tions, con­for­mé­ment à l’an­ne­xe VIII ou à l’u­ne des dis­po­si­ti­ons natio­na­les d’exé­cu­ti­on per­ti­nen­tes, sont cou­ver­tes par le secret pro­fes­si­on­nel, sauf à l’é­gard des auto­ri­tés de sur­veil­lan­ce du mar­ché de l’É­tat membre dans lequel il exer­ce ses acti­vi­tés. Les droits de pro­prié­té sont pro­té­gés. L’or­ga­nis­me d’éva­lua­ti­on de la con­for­mi­té dis­po­se de pro­cé­du­res docu­men­tées pour assurer le respect du pré­sent paragraphe.
(11) Les orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té par­ti­ci­pent aux acti­vi­tés de nor­ma­li­sa­ti­on per­ti­nen­tes et aux acti­vi­tés du grou­pe de coor­di­na­ti­on des orga­nis­mes noti­fi­és éta­b­li en ver­tu de l’ar­tic­le 51, ou veil­lent à ce que leur per­son­nel d’éva­lua­ti­on en soit infor­mé, et appli­quent com­me lignes direc­tri­ces géné­ra­les les décis­i­ons admi­ni­stra­ti­ves et les docu­ments éla­bo­rés par ce groupe.
(12) Les orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té exer­cent leurs acti­vi­tés dans le respect d’un ensem­ble de con­di­ti­ons com­mer­cia­les cohé­ren­tes, équi­ta­bles, pro­por­ti­onnées et rai­sonn­ables, en évi­tant d’im­po­ser des char­ges inu­tiles aux opé­ra­teurs éco­no­mi­ques et en tenant comp­te des inté­rêts des micro, peti­tes et moy­ennes ent­re­pri­ses, notam­ment en ce qui con­cer­ne les redevances.
Artic­le 40 Pré­somp­ti­on de con­for­mi­té des orga­nis­mes notifiés
Lorsqu’un orga­nis­me d’éva­lua­ti­on de la con­for­mi­té démont­re sa con­for­mi­té aux critères défi­nis dans les nor­mes har­mo­ni­sées per­ti­nen­tes, dont les réfé­ren­ces ont été publiées au Jour­nal offi­ci­el de l’U­ni­on euro­pé­en­ne, ou dans des par­ties de ces nor­mes, il est pré­su­mé répond­re aux exi­gen­ces défi­nies à l’ar­tic­le 39, dans la mesu­re où les nor­mes appli­ca­bles cou­vrent ces exigences. 
Artic­le 41 Suc­cur­sa­les d’or­ga­nis­mes noti­fi­és et sous-trai­tance par des orga­nis­mes notifiés
(1) Lorsqu’un orga­nis­me noti­fié sous-trai­te cer­tai­nes tâches spé­ci­fi­ques liées à l’éva­lua­ti­on de la con­for­mi­té ou délè­gue ces tâches à une filia­le, il s’assu­re que le sous-trai­tant ou la filia­le satis­fait aux exi­gen­ces visées à l’ar­tic­le 39 et en infor­me l’au­to­ri­té notifiante.
(2) Les orga­nis­mes noti­fi­és assu­ment l’en­tiè­re responsa­bi­li­té des travaux effec­tués par des sous-trai­tants ou des filia­les, quel que soit leur lieu d’établissement.
(3) Les travaux ne peu­vent être sous-trai­tés ou con­fiés à une filia­le qu’a­vec l’ac­cord du fabricant.
(4) Les orga­nis­mes noti­fi­és tien­nent à la dis­po­si­ti­on de l’au­to­ri­té noti­fi­an­te les docu­ments per­tin­ents con­cer­nant l’éva­lua­ti­on des qua­li­fi­ca­ti­ons du sous-trai­tant ou de la filia­le et le tra­vail qu’ils ont effec­tué con­for­mé­ment au pré­sent règlement.
Artic­le 42 Deman­de de notification
(1) Un orga­nis­me d’éva­lua­ti­on de la con­for­mi­té sou­met sa noti­fi­ca­ti­on à l’au­to­ri­té noti­fi­an­te de l’É­tat membre dans lequel il est établi.
(2) La deman­de est accom­pa­gnée d’u­ne descrip­ti­on des acti­vi­tés d’éva­lua­ti­on de la con­for­mi­té, de la ou des pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té et du ou des pro­duits con­tenant des élé­ments numé­ri­ques pour les­quels cet orga­nis­me reven­dique une com­pé­tence et, le cas échéant, d’un cer­ti­fi­cat d’ac­cré­di­ta­ti­on déli­v­ré par un orga­nis­me natio­nal d’ac­cré­di­ta­ti­on atte­stant que l’or­ga­nis­me d’éva­lua­ti­on de la con­for­mi­té satis­fait aux exi­gen­ces défi­nies à l’ar­tic­le 39.
(3) Lorsque l’or­ga­nis­me d’éva­lua­ti­on de la con­for­mi­té ne peut pro­dui­re un cer­ti­fi­cat d’ac­cré­di­ta­ti­on, il pré­sen­te à l’au­to­ri­té noti­fi­an­te, à tit­re de preuve, tous les docu­ments néces­saires pour véri­fier, éta­b­lir et con­trô­ler régu­liè­re­ment qu’il satis­fait aux exi­gen­ces défi­nies à l’ar­tic­le 39.
Artic­le 43 Pro­cé­du­re de notification
(1) Les auto­ri­tés noti­fi­an­tes ne noti­fi­ent que les orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té qui répon­dent aux exi­gen­ces défi­nies à l’ar­tic­le 39.
(2) L’au­to­ri­té noti­fi­an­te infor­me la Com­mis­si­on et les aut­res États mem­bres au moy­en du système d’in­for­ma­ti­on sur les orga­nis­mes noti­fi­és et dési­gnés au tit­re de la nou­vel­le appro­che, mis au point et géré par la Commission.
(3) La noti­fi­ca­ti­on con­ti­ent des infor­ma­ti­ons com­plè­tes sur les acti­vi­tés d’éva­lua­ti­on de la con­for­mi­té, le ou les modu­les d’éva­lua­ti­on de la con­for­mi­té et les pro­duits con­tenant des élé­ments numé­ri­ques con­cer­nés, ain­si que la con­fir­ma­ti­on per­ti­nen­te de la compétence.
(4) Lorsqu’u­ne noti­fi­ca­ti­on n’est pas fon­dée sur un cer­ti­fi­cat d’ac­cré­di­ta­ti­on visé à l’ar­tic­le 42, para­gra­phe 2, l’au­to­ri­té noti­fi­an­te pré­sen­te à la Com­mis­si­on et aux aut­res États mem­bres les docu­ments démon­trant la com­pé­tence de l’or­ga­nis­me d’éva­lua­ti­on de la con­for­mi­té, ain­si que les dis­po­si­ti­ons pri­ses pour garan­tir qu’il sera régu­liè­re­ment con­trôlé et répon­dra tou­jours aux exi­gen­ces visées à l’ar­tic­le 39.
(5) L’or­ga­nis­me con­cer­né ne peut accom­plir les tâches d’un orga­nis­me noti­fié que si aucu­ne objec­tion n’a été émi­se par la Com­mis­si­on ou les aut­res États mem­bres dans un délai de deux semain­es à comp­ter de la noti­fi­ca­ti­on, en cas de cer­ti­fi­cat d’ac­cré­di­ta­ti­on, ou de deux mois à comp­ter de la noti­fi­ca­ti­on, en l’ab­sence d’accréditation.
Seul un tel orga­nis­me est con­sidé­ré com­me un orga­nis­me noti­fié aux fins du pré­sent règle­ment.
(6) La Com­mis­si­on et les aut­res États mem­bres sont infor­més de tou­te modi­fi­ca­ti­on per­ti­nen­te appor­tée ulté­ri­eu­re­ment à la notification.
Artic­le 44 Numé­ros d’i­den­ti­fi­ca­ti­on et listes des orga­nis­mes notifiés
(1) La Com­mis­si­on attri­bue un numé­ro d’i­den­ti­fi­ca­ti­on à chaque orga­nis­me notifié.
Même si un orga­nis­me est noti­fié en ver­tu de plu­sieurs actes juri­di­ques de l’U­ni­on, il ne reçoit qu’un seul numé­ro d’i­den­ti­fi­ca­ti­on.
(2) La Com­mis­si­on publie la liste des orga­nis­mes noti­fi­és au tit­re du pré­sent règle­ment, ain­si que les numé­ros d’i­den­ti­fi­ca­ti­on qui leur ont été attri­bués et les acti­vi­tés pour les­quel­les ils ont été notifiés.
La Com­mis­si­on veil­le à ce que cet­te liste soit con­stam­ment mise à jour. 
Artic­le 45 Modi­fi­ca­ti­ons des notifications
(1) Lorsqu’u­ne auto­ri­té noti­fi­an­te a éta­b­li ou a été infor­mée qu’un orga­nis­me noti­fié ne répond plus aux exi­gen­ces énon­cées à l’ar­tic­le 39, ou qu’il ne s’ac­quit­te pas de ses obli­ga­ti­ons, elle sou­met à des rest­ric­tions, sus­pend ou reti­re la noti­fi­ca­ti­on, selon le cas, en tenant comp­te de la mesu­re dans laquel­le ces exi­gen­ces n’ont pas été respec­tées ou ces obli­ga­ti­ons n’ont pas été rem­plies. Elle en infor­me immé­dia­te­ment la Com­mis­si­on et les aut­res États membres.
(2) En cas de rest­ric­tion, de sus­pen­si­on ou de retrait de la noti­fi­ca­ti­on, ou lorsque l’or­ga­nis­me noti­fié ces­se ses acti­vi­tés, l’É­tat membre noti­fi­ant prend les mesu­res appro­priées pour que les dos­siers de cet orga­nis­me soi­ent trai­tés par un aut­re orga­nis­me noti­fié ou tenus à la dis­po­si­ti­on des auto­ri­tés noti­fi­an­tes et des auto­ri­tés de sur­veil­lan­ce du mar­ché com­pé­ten­tes, à leur demande.
Artic­le 46 Con­te­sta­ti­on de la com­pé­tence des orga­nis­mes notifiés
(1) La Com­mis­si­on enquête sur tous les cas dans les­quels elle a des dou­tes ou est infor­mée de dou­tes quant à la com­pé­tence d’un orga­nis­me noti­fié ou au fait qu’un orga­nis­me noti­fié con­ti­n­ue à rem­plir les exi­gen­ces et les obli­ga­ti­ons qui lui sont applicables.
(2) L’É­tat membre noti­fi­ant four­nit à la Com­mis­si­on, sur deman­de, tou­tes les infor­ma­ti­ons rela­ti­ves au fon­de­ment de la noti­fi­ca­ti­on ou au main­ti­en de la com­pé­tence de l’or­ga­nis­me concerné.
(3) La Com­mis­si­on veil­le à ce que tou­tes les infor­ma­ti­ons sen­si­bles obte­nues au cours de ses enquêtes soi­ent trai­tées de maniè­re confidentielle.
(4) Lorsque la Com­mis­si­on éta­blit qu’un orga­nis­me noti­fié ne répond pas ou ne répond plus aux exi­gen­ces rela­ti­ves à sa noti­fi­ca­ti­on, elle en infor­me l’É­tat membre noti­fi­ant et l’in­vi­te à prend­re les mesu­res cor­rec­ti­ves qui s’im­po­sent, y com­pris le retrait de la noti­fi­ca­ti­on, si nécessaire.
Artic­le 47 Obli­ga­ti­ons opé­ra­ti­on­nel­les des orga­nis­mes notifiés
(1) Les orga­nis­mes noti­fi­és effec­tu­ent les éva­lua­tions de la con­for­mi­té con­for­mé­ment aux pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té visées à l’ar­tic­le 32 et à l’an­ne­xe VIII.
(2) Les éva­lua­tions de la con­for­mi­té sont effec­tuées de maniè­re pro­por­ti­onnée, en évi­tant d’im­po­ser des char­ges inu­tiles aux opé­ra­teurs éco­no­mi­ques. Les orga­nis­mes d’éva­lua­ti­on de la con­for­mi­té exer­cent leurs acti­vi­tés en tenant dûment comp­te de la tail­le des ent­re­pri­ses, notam­ment en ce qui con­cer­ne les micro, peti­tes et moy­ennes ent­re­pri­ses, du sec­teur dans lequel elles opè­rent, de leur struc­tu­re, du degré de com­ple­xi­té et du ris­que de cyber­sé­cu­ri­té des pro­duits con­cer­nés con­tenant des élé­ments et des tech­no­lo­gies numé­ri­ques, ain­si que du carac­tère de pro­duc­tion de mas­se ou de série du pro­ce­s­sus de fabrication.
(3) Tou­te­fois, les orga­nis­mes noti­fi­és adoptent à cet égard une appro­che aus­si stric­te et main­ti­en­nent un niveau de pro­tec­tion aus­si éle­vé que néces­saire pour garan­tir la con­for­mi­té des pro­duits con­tenant des élé­ments numé­ri­ques avec le pré­sent règlement.
(4) Lorsqu’un orga­nis­me noti­fié con­sta­te qu’un fab­ri­cant n’a pas respec­té les exi­gen­ces défi­nies à l’an­ne­xe I ou dans les nor­mes har­mo­ni­sées ou spé­ci­fi­ca­ti­ons com­mu­nes cor­re­spond­an­tes visées à l’ar­tic­le 27, il invi­te le fab­ri­cant à prend­re les mesu­res cor­rec­ti­ves appro­priées et ne déli­v­re pas de cer­ti­fi­cat de conformité.
(5) Lorsqu’un orga­nis­me noti­fié a déjà déli­v­ré un cer­ti­fi­cat et con­sta­te, lors du con­trô­le de la con­for­mi­té, que le pro­duit numé­ri­que ne satis­fait plus aux exi­gen­ces défi­nies dans le pré­sent règle­ment, il invi­te le fab­ri­cant à prend­re les mesu­res cor­rec­ti­ves appro­priées et sus­pend ou reti­re le cer­ti­fi­cat si nécessaire.
(6) Si aucu­ne mesu­re cor­rec­ti­ve n’est pri­se ou si elles n’ont pas l’ef­fet requis, l’or­ga­nis­me noti­fié sou­met les cer­ti­fi­cats à des rest­ric­tions, les sus­pend ou les reti­re, selon le cas.
Artic­le 48 Recours cont­re les décis­i­ons des orga­nis­mes notifiés
Les États mem­bres veil­lent à ce qu’u­ne pro­cé­du­re de recours cont­re les décis­i­ons des orga­nis­mes noti­fi­és soit prévue. 
Artic­le 49 Obli­ga­ti­ons de noti­fi­ca­ti­on des orga­nis­mes notifiés
(1) Les orga­nis­mes noti­fi­és com­mu­ni­quent à l’au­to­ri­té notifiante
a) tout refus, rest­ric­tion, sus­pen­si­on ou annu­la­ti­on d’un certificat,
b) tou­te cir­con­stance ayant une inci­dence sur le champ d’ap­pli­ca­ti­on et les con­di­ti­ons de la notification,
c) tou­te deman­de d’in­for­ma­ti­on sur les acti­vi­tés d’éva­lua­ti­on de la con­for­mi­té reçue de la part des auto­ri­tés de sur­veil­lan­ce du marché,
d) sur deman­de, les acti­vi­tés d’éva­lua­ti­on de la con­for­mi­té qu’ils ont menées dans le cad­re de leur noti­fi­ca­ti­on et tou­te aut­re acti­vi­té, y com­pris les acti­vi­tés et la sous-trai­tance trans­fron­ta­liè­res, qu’ils ont exercées.
(2) Les orga­nis­mes noti­fi­és com­mu­ni­quent aux aut­res orga­nis­mes noti­fi­és au tit­re du pré­sent règle­ment qui effec­tu­ent des acti­vi­tés simi­lai­res d’éva­lua­ti­on de la con­for­mi­té pour les mêmes pro­duits con­tenant des élé­ments numé­ri­ques les infor­ma­ti­ons per­ti­nen­tes con­cer­nant les résul­tats néga­tifs et, sur deman­de, posi­tifs des éva­lua­tions de la conformité.
Artic­le 50 Éch­an­ge d’expériences
La Com­mis­si­on orga­ni­se l’é­ch­an­ge d’expé­ri­en­ces ent­re les auto­ri­tés natio­na­les des États mem­bres respons­ables de la poli­tique de notification. 
Artic­le 51 Coor­di­na­ti­on des orga­nis­mes désignés
(1) La Com­mis­si­on veil­le à ce qu’u­ne coor­di­na­ti­on et une coopé­ra­ti­on appro­priées ent­re les orga­nis­mes noti­fi­és soi­ent mises en place et cor­rec­te­ment main­te­nues sous la for­me d’un grou­pe inter­sec­to­ri­el d’or­ga­nis­mes notifiés.
(2) Les États mem­bres veil­lent à ce que les orga­nis­mes qu’ils ont noti­fi­és par­ti­ci­pent aux travaux de ce grou­pe, direc­te­ment ou par l’in­ter­mé­di­ai­re de repré­sen­tants désignés.

Cha­pit­re V Sur­veil­lan­ce du mar­ché et application 

Artic­le 52 Sur­veil­lan­ce du mar­ché et con­trô­le des pro­duits con­tenant des élé­ments numé­ri­ques sur le mar­ché de l’Union
(1) Le règle­ment (UE) 2019/1020 s’ap­pli­que aux pro­duits con­tenant des élé­ments numé­ri­ques qui relè­vent du champ d’ap­pli­ca­ti­on du pré­sent règlement.
(2) Chaque État membre dési­gne une ou plu­sieurs auto­ri­tés de sur­veil­lan­ce du mar­ché aux fins d’assurer la mise en œuvre effec­ti­ve du pré­sent règle­ment. Les États mem­bres peu­vent dési­gner une auto­ri­té exi­stan­te ou une nou­vel­le auto­ri­té pour agir en tant qu’­au­to­ri­té de sur­veil­lan­ce du mar­ché dans le cad­re du pré­sent règlement.
(3) Les auto­ri­tés de sur­veil­lan­ce du mar­ché dési­gnées con­for­mé­ment au para­gra­phe 2 du pré­sent artic­le sont éga­le­ment char­gées d’ef­fec­tuer des acti­vi­tés de sur­veil­lan­ce du mar­ché en rap­port avec les obli­ga­ti­ons impo­sées aux gesti­on­n­aires de logi­ciels à code source ouvert, visées à l’ar­tic­le 24. Si une auto­ri­té de sur­veil­lan­ce du mar­ché con­sta­te qu’un gesti­on­n­aire de logi­ciel à code source ouvert ne respec­te pas les obli­ga­ti­ons énon­cées dans ledit artic­le, elle deman­de au gesti­on­n­aire de logi­ciel à code source ouvert de veil­ler à ce que tou­tes les mesu­res cor­rec­ti­ves appro­priées soi­ent pri­ses. Les gesti­on­n­aires de logi­ciels à source ouver­te veil­lent, dans le cad­re de leurs obli­ga­ti­ons au tit­re du pré­sent règle­ment, à ce que tou­tes les mesu­res cor­rec­ti­ves appro­priées soi­ent prises.
(4) Les auto­ri­tés de sur­veil­lan­ce du mar­ché coopè­rent, le cas échéant, avec les auto­ri­tés natio­na­les dési­gnées en ver­tu de l’ar­tic­le 58 du règle­ment (UE) 2019/881 pour la cer­ti­fi­ca­ti­on en matiè­re de cyber­sé­cu­ri­té et éch­an­gent régu­liè­re­ment des infor­ma­ti­ons avec elles. Lorsqu’el­les super­vi­sent la mise en œuvre des obli­ga­ti­ons de noti­fi­ca­ti­on visées à l’ar­tic­le 14 du pré­sent règle­ment, les auto­ri­tés de sur­veil­lan­ce du mar­ché dési­gnées coopè­rent et éch­an­gent régu­liè­re­ment des infor­ma­ti­ons avec les CSIRT et l’E­NISA dési­gnés com­me coordinateurs.
(5) Les auto­ri­tés de sur­veil­lan­ce du mar­ché peu­vent deman­der au CSIRT dési­gné com­me coor­don­na­teur ou à l’E­NISA de four­nir des con­seils tech­ni­ques sur la mise en œuvre et l’ap­pli­ca­ti­on du pré­sent règle­ment. Lorsqu’el­les mènent une enquête con­for­mé­ment à l’ar­tic­le 54, les auto­ri­tés de sur­veil­lan­ce du mar­ché peu­vent deman­der au CSIRT dési­gné com­me coor­don­na­teur ou à l’E­NISA de four­nir une ana­ly­se à l’ap­pui de l’éva­lua­ti­on de la con­for­mi­té des pro­duits con­tenant des élé­ments numériques.
(6) Les auto­ri­tés de sur­veil­lan­ce du mar­ché coopè­rent, le cas échéant, avec d’aut­res auto­ri­tés de sur­veil­lan­ce du mar­ché dési­gnées en ver­tu de la légis­la­ti­on d’har­mo­ni­sa­ti­on de l’U­ni­on aut­re que le pré­sent règle­ment pour d’aut­res pro­duits, et éch­an­gent régu­liè­re­ment des infor­ma­ti­ons avec elles.
(7) Les auto­ri­tés de sur­veil­lan­ce du mar­ché coopè­rent, le cas échéant, avec les auto­ri­tés char­gées de sur­veil­ler l’ap­pli­ca­ti­on de la légis­la­ti­on de l’U­ni­on en matiè­re de pro­tec­tion des don­nées. Cet­te coopé­ra­ti­on com­prend la com­mu­ni­ca­ti­on à ces auto­ri­tés de tou­te infor­ma­ti­on per­ti­nen­te pour l’e­xer­ci­ce de leurs responsa­bi­li­tés, y com­pris en ce qui con­cer­ne la publi­ca­ti­on de lignes direc­tri­ces et les con­seils visés au para­gra­phe 10, dans la mesu­re où ces lignes direc­tri­ces et con­seils con­cer­nent le trai­te­ment de don­nées à carac­tère personnel.
Les auto­ri­tés char­gées de sur­veil­ler l’ap­pli­ca­ti­on de la légis­la­ti­on de l’U­ni­on en matiè­re de pro­tec­tion des don­nées sont habi­li­tées à deman­der tous les docu­ments étab­lis ou con­ser­vés en ver­tu du pré­sent règle­ment et à y accé­der dans la mesu­re où l’ac­cès à ces docu­ments est néces­saire à l’ac­com­plis­se­ment de leurs tâches. Ils infor­ment les auto­ri­tés de sur­veil­lan­ce du mar­ché dési­gnées de l’É­tat membre con­cer­né de tou­te deman­de de ce type.
(8) Les États mem­bres veil­lent à ce que les auto­ri­tés dési­gnées de sur­veil­lan­ce du mar­ché soi­ent dotées de res­sour­ces finan­ciè­res et tech­ni­ques adé­qua­tes, y com­pris, le cas échéant, d’ou­tils d’au­to­ma­tisa­ti­on des pro­ce­s­sus, ain­si que de res­sour­ces humain­es dis­po­sant des com­pé­ten­ces néces­saires en matiè­re de cyber­sé­cu­ri­té, afin de pou­voir s’ac­quit­ter des tâches qui leur incom­bent en ver­tu du pré­sent règlement.
(9) La Com­mis­si­on encou­ra­ge et faci­li­te l’é­ch­an­ge d’expé­ri­en­ces ent­re les auto­ri­tés dési­gnées de sur­veil­lan­ce du marché.
(10) Les auto­ri­tés de sur­veil­lan­ce du mar­ché, assi­s­tées par la Com­mis­si­on et, le cas échéant, par les CSIRT et l’E­NISA, peu­vent four­nir aux opé­ra­teurs éco­no­mi­ques des ori­en­ta­ti­ons et des con­seils sur la mise en œuvre du pré­sent règlement.
(11) Les auto­ri­tés de sur­veil­lan­ce du mar­ché infor­ment les con­som­ma­teurs, con­for­mé­ment à l’ar­tic­le 11 du règle­ment (UE) 2019/1020, du lieu où doi­vent être dépo­sées les plain­tes qui pour­rai­ent indi­quer un non-respect du pré­sent règle­ment et four­nis­sent aux con­som­ma­teurs des infor­ma­ti­ons sur le lieu et les moda­li­tés d’ac­cès aux méca­nis­mes desti­nés à faci­li­ter la noti­fi­ca­ti­on des vul­né­ra­bi­li­tés, des inci­dents de sécu­ri­té et des cyber­men­aces sus­cep­ti­bles d’af­fec­ter les pro­duits con­tenant des élé­ments numériques.
(12) Les auto­ri­tés de sur­veil­lan­ce du mar­ché doi­vent, le cas échéant, faci­li­ter la coopé­ra­ti­on avec les par­ties pren­an­tes con­cer­nées, y com­pris les orga­ni­sa­ti­ons sci­en­ti­fi­ques, de recher­che et de consommateurs.
(13) Les auto­ri­tés de sur­veil­lan­ce du mar­ché font rap­port annuel­le­ment à la Com­mis­si­on sur les résul­tats de leurs acti­vi­tés respec­ti­ves de sur­veil­lan­ce du mar­ché. Les auto­ri­tés de sur­veil­lan­ce du mar­ché dési­gnées com­mu­ni­quent sans délai à la Com­mis­si­on et aux auto­ri­tés natio­na­les de con­cur­rence con­cer­nées tou­te infor­ma­ti­on obte­nue au cours de leurs acti­vi­tés de sur­veil­lan­ce du mar­ché qui pour­rait pré­sen­ter un inté­rêt pour l’ap­pli­ca­ti­on du droit de la con­cur­rence de l’Union.
(14) En ce qui con­cer­ne les pro­duits con­tenant des élé­ments numé­ri­ques rele­vant du champ d’ap­pli­ca­ti­on du pré­sent règle­ment et clas­sés com­me systè­mes d’in­tel­li­gence arti­fi­ci­el­le à haut ris­que con­for­mé­ment à l’ar­tic­le 6 du règle­ment (UE) 2024/1689, les auto­ri­tés de sur­veil­lan­ce du mar­ché dési­gnées aux fins dudit règle­ment sont éga­le­ment char­gées des acti­vi­tés de sur­veil­lan­ce du mar­ché requi­ses par le pré­sent règle­ment. Les auto­ri­tés de sur­veil­lan­ce du mar­ché dési­gnées en ver­tu du règle­ment (UE) 2024/1689 coopè­rent, le cas échéant, avec les auto­ri­tés de sur­veil­lan­ce du mar­ché dési­gnées en ver­tu du pré­sent règle­ment et, en ce qui con­cer­ne la super­vi­si­on de la mise en œuvre des obli­ga­ti­ons de noti­fi­ca­ti­on visées à l’ar­tic­le 14 du pré­sent règle­ment, avec les CSIRT dési­gnés com­me coor­di­na­teurs et l’E­NISA. Les auto­ri­tés de sur­veil­lan­ce du mar­ché dési­gnées en ver­tu du règle­ment (UE) 2024/1689 infor­ment notam­ment les auto­ri­tés de sur­veil­lan­ce du mar­ché dési­gnées en ver­tu du pré­sent règle­ment de tou­te infor­ma­ti­on per­ti­nen­te pour l’e­xer­ci­ce de leurs fonc­tions dans le cad­re de la mise en œuvre du pré­sent règlement.
(15) En vue de l’ap­pli­ca­ti­on uni­for­me du pré­sent règle­ment, l’AD­CO est insti­tué con­for­mé­ment à l’ar­tic­le 30, para­gra­phe 2, du règle­ment (UE) 2019/1020. L’ADCO se com­po­se de repré­sen­tants des auto­ri­tés de sur­veil­lan­ce du mar­ché dési­gnées et, le cas échéant, de repré­sen­tants des bureaux de liai­son uni­ques. L’ADCO trai­te éga­le­ment des que­sti­ons spé­ci­fi­ques rela­ti­ves aux acti­vi­tés de sur­veil­lan­ce du mar­ché liées aux obli­ga­ti­ons des gesti­on­n­aires de logi­ciels à source ouverte.
(16) Les auto­ri­tés de sur­veil­lan­ce du mar­ché con­trô­lent la maniè­re dont les fab­ri­cants ont appli­qué les critères visés à l’ar­tic­le 13, para­gra­phe 8, lors de la déter­mi­na­ti­on de la péri­ode de sou­ti­en pour leurs pro­duits con­tenant des élé­ments numériques.
ADCO publie, sous une for­me acce­s­si­ble au public et con­vi­via­le, des sta­ti­sti­ques per­ti­nen­tes sur les caté­go­ries de pro­duits con­tenant des élé­ments numé­ri­ques, y com­pris les péri­odes de sou­ti­en moy­ennes fixées par le fab­ri­cant con­for­mé­ment à l’ar­tic­le 13, para­gra­phe 8, et four­nit des ori­en­ta­ti­ons indi­quant des péri­odes de sou­ti­en indi­ca­ti­ves pour les caté­go­ries de pro­duits con­tenant des élé­ments numé­ri­ques. Si les don­nées indi­quent des péri­odes de sou­ti­en insuf­fi­san­tes pour cer­tai­nes caté­go­ries de pro­duits numé­ri­ques, ADCO peut recom­man­der aux auto­ri­tés de sur­veil­lan­ce du mar­ché de con­cen­trer leurs acti­vi­tés sur ces caté­go­ries de pro­duits numériques. 
Artic­le 53 Accès aux don­nées et à la documentation
Dans la mesu­re où cela est néces­saire pour éva­luer la con­for­mi­té des pro­duits con­tenant des élé­ments numé­ri­ques et des pro­cé­du­res éta­b­lies par leurs fab­ri­cants avec les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, les auto­ri­tés de sur­veil­lan­ce du mar­ché ont accès, sur deman­de moti­vée et dans une lan­gue qu’el­les com­pren­nent aisé­ment, aux don­nées néces­saires pour éva­luer la con­cep­ti­on, le déve­lo­p­pe­ment, la fab­ri­ca­ti­on et le trai­te­ment des vul­né­ra­bi­li­tés de ces pro­duits, y com­pris les docu­ments inter­nes con­cer­nés de l’opé­ra­teur éco­no­mi­que concerné. 
Artic­le 54 Pro­cé­du­res natio­na­les pour les pro­duits con­tenant des élé­ments numé­ri­ques qui pré­sen­tent un ris­que important en matiè­re de cybersécurité
(1) Lorsque l’au­to­ri­té de sur­veil­lan­ce du mar­ché d’un État membre a des rai­sons suf­fi­san­tes de pen­ser qu’un pro­duit con­tenant des élé­ments numé­ri­ques, y com­pris le trai­te­ment des vul­né­ra­bi­li­tés, pré­sen­te un ris­que important en matiè­re de cyber­sé­cu­ri­té, elle procè­de sans tar­der, le cas échéant en coopé­ra­ti­on avec le CSIRT con­cer­né, à une éva­lua­ti­on de la con­for­mi­té du pro­duit en que­sti­on avec les exi­gen­ces défi­nies dans le pré­sent règle­ment. Les opé­ra­teurs éco­no­mi­ques con­cer­nés coopè­rent avec l’au­to­ri­té de sur­veil­lan­ce du mar­ché dans la mesu­re nécessaire.
Si, au cours de cet­te éva­lua­ti­on, l’au­to­ri­té de sur­veil­lan­ce du mar­ché con­clut que le pro­duit numé­ri­que ne respec­te pas les exi­gen­ces du pré­sent règle­ment, elle invi­te immé­dia­te­ment l’opé­ra­teur éco­no­mi­que con­cer­né à prend­re tou­tes les mesu­res cor­rec­ti­ves appro­priées pour mett­re le pro­duit numé­ri­que en con­for­mi­té avec ces exi­gen­ces, le reti­rer du mar­ché ou le rap­pe­l­er dans le délai fixé par l’au­to­ri­té de sur­veil­lan­ce du mar­ché et pro­por­ti­onné à la natu­re du ris­que de cyber­sé­cu­ri­té. L’au­to­ri­té de sur­veil­lan­ce du mar­ché en infor­me l’or­ga­nis­me noti­fié con­cer­né. L’ar­tic­le 18 du règle­ment (UE) 2019/1020 s’ap­pli­que aux mesu­res cor­rec­ti­ves.
(2) Lorsqu’el­les déter­mi­nent l’im­portance d’un ris­que de cyber­sé­cu­ri­té con­for­mé­ment au para­gra­phe 1, les auto­ri­tés de sur­veil­lan­ce du mar­ché tien­nent éga­le­ment comp­te des fac­teurs de ris­que non tech­ni­ques, en par­ti­cu­lier ceux qui ont été iden­ti­fi­és à la suite d’éva­lua­tions coor­don­nées des ris­ques en matiè­re de sécu­ri­té de la chaî­ne d’ap­pro­vi­si­on­ne­ment au niveau de l’U­ni­on, con­for­mé­ment à l’ar­tic­le 22 de la direc­ti­ve (UE) 2022/2555. Lorsqu’u­ne auto­ri­té de sur­veil­lan­ce du mar­ché a des rai­sons suf­fi­san­tes de pen­ser que, comp­te tenu des fac­teurs de ris­que non tech­ni­ques, un pro­duit con­tenant des élé­ments numé­ri­ques pré­sen­te un ris­que important pour la cyber­sé­cu­ri­té, elle en infor­me les auto­ri­tés com­pé­ten­tes dési­gnées ou mises en place con­for­mé­ment à l’ar­tic­le 8 de la direc­ti­ve (UE) 2022/2555 et coopè­re avec ces auto­ri­tés si nécessaire.
(3) Lorsque l’au­to­ri­té de sur­veil­lan­ce du mar­ché con­sta­te que la non-con­for­mi­té n’est pas limi­tée à son ter­ri­toire natio­nal, elle infor­me la Com­mis­si­on et les aut­res États mem­bres des résul­tats de son examen et des mesu­res qu’el­le a pre­scri­tes à l’opé­ra­teur économique.
(4) L’opé­ra­teur éco­no­mi­que s’assu­re que tou­tes les mesu­res cor­rec­ti­ves appro­priées sont pri­ses en ce qui con­cer­ne tous les pro­duits con­cer­nés con­tenant des élé­ments numé­ri­ques qu’il a mis à dis­po­si­ti­on sur le mar­ché de l’Union.
(5) Lorsque l’opé­ra­teur éco­no­mi­que ne prend pas de mesu­res cor­rec­ti­ves appro­priées dans le délai visé au para­gra­phe 1, deu­xiè­me ali­néa, les auto­ri­tés de sur­veil­lan­ce du mar­ché adoptent tou­tes les mesu­res pro­vi­so­i­res appro­priées pour interd­ire ou rest­reind­re la mise à dis­po­si­ti­on du pro­duit con­tenant des élé­ments numé­ri­ques sur leur mar­ché natio­nal, pour le reti­rer de ce mar­ché ou pour le rappeler.
Cet­te auto­ri­té noti­fie immé­dia­te­ment ces mesu­res à la Com­mis­si­on et aux aut­res États mem­bres.
(6) Les infor­ma­ti­ons visées au para­gra­phe 5 con­ti­en­nent tou­tes les pré­cis­i­ons dis­po­ni­bles, notam­ment les don­nées néces­saires à l’i­den­ti­fi­ca­ti­on du pro­duit numé­ri­que non con­for­me, l’o­ri­gi­ne de ce pro­duit numé­ri­que, la natu­re de la non-con­for­mi­té allé­guée et le ris­que asso­cié, ain­si que la natu­re et la durée des mesu­res natio­na­les adop­tées et les argu­ments avan­cés par l’opé­ra­teur éco­no­mi­que con­cer­né. L’au­to­ri­té de sur­veil­lan­ce du mar­ché indi­que notam­ment si la non-con­for­mi­té a une ou plu­sieurs des cau­ses suivantes :
a) le pro­duit con­tenant des élé­ments numé­ri­ques ou les pro­cé­du­res éta­b­lies par le fab­ri­cant ne sont pas con­for­mes aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I
b) des lacu­nes dans les nor­mes har­mo­ni­sées, les sché­mas euro­pé­ens de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té ou les spé­ci­fi­ca­ti­ons com­mu­nes visées à l’ar­tic­le 27.
(7) Les auto­ri­tés de sur­veil­lan­ce du mar­ché des États mem­bres aut­res que cel­le qui a enga­gé la pro­cé­du­re infor­ment immé­dia­te­ment la Com­mis­si­on et les aut­res États mem­bres de tou­te mesu­re pri­se et de tou­te infor­ma­ti­on sup­p­lé­men­tai­re dont elles dis­po­sent con­cer­nant la non-con­for­mi­té du pro­duit numé­ri­que en que­sti­on, et de leurs objec­tions en cas de refus de la mesu­re natio­na­le qui leur a été notifiée.
(8) Si, dans un délai de trois mois à comp­ter de la récep­ti­on de la noti­fi­ca­ti­on visée au para­gra­phe 5 du pré­sent artic­le, ni un État membre ni la Com­mis­si­on ne s’op­po­sent à une mesu­re pro­vi­so­i­re pri­se par un État membre, cet­te mesu­re est répu­tée justi­fi­ée. Cela ne por­te pas att­ein­te aux droits pro­cé­du­raux de l’opé­ra­teur éco­no­mi­que con­cer­né visés à l’ar­tic­le 18 du règle­ment (UE) 2019/1020.
(9) Les auto­ri­tés de sur­veil­lan­ce du mar­ché de tous les États mem­bres veil­lent à ce que des mesu­res rest­ric­ti­ves appro­priées soi­ent pri­ses immé­dia­te­ment à l’é­gard du pro­duit numé­ri­que en que­sti­on, par exemp­le en ret­i­rant ce pro­duit de leur marché.
Artic­le 55 Pro­cé­du­re de la clau­se de sau­vegar­de de l’Union
(1) Lorsque, dans un délai de trois mois à comp­ter de la récep­ti­on de la noti­fi­ca­ti­on visée à l’ar­tic­le 54, para­gra­phe 5, un État membre soulè­ve des objec­tions à l’en­cont­re d’u­ne mesu­re pri­se par un aut­re État membre, ou lorsque la Com­mis­si­on con­sidè­re que la mesu­re est incom­pa­ti­ble avec le droit de l’U­ni­on, la Com­mis­si­on ent­a­me immé­dia­te­ment des con­sul­ta­ti­ons avec l’É­tat membre ou l’opé­ra­teur éco­no­mi­que con­cer­né et exami­ne la mesu­re natio­na­le. En fonc­tion des résul­tats de cet examen, la Com­mis­si­on déter­mi­ne, dans un délai de neuf mois à comp­ter de la récep­ti­on de la noti­fi­ca­ti­on visée à l’ar­tic­le 54, para­gra­phe 5, si la mesu­re natio­na­le est justi­fi­ée ou non et infor­me l’É­tat membre con­cer­né de sa décision.
(2) Si elle con­sidè­re que la mesu­re natio­na­le est justi­fi­ée, tous les États mem­bres pren­nent les mesu­res néces­saires pour garan­tir le retrait de leur mar­ché du pro­duit non con­for­me con­tenant des élé­ments numé­ri­ques et en infor­ment la Com­mis­si­on. Si la mesu­re natio­na­le est jugée non justi­fi­ée, l’É­tat membre con­cer­né doit la retirer.
(3) Si la mesu­re natio­na­le est jugée justi­fi­ée et que la non-con­for­mi­té du pro­duit con­tenant des élé­ments numé­ri­ques est attri­buée à des lacu­nes dans les nor­mes har­mo­ni­sées, la Com­mis­si­on lan­ce la pro­cé­du­re pré­vue à l’ar­tic­le 11 du règle­ment (UE) n° 1025/2012.
(4) Lorsque la mesu­re natio­na­le est jugée justi­fi­ée et que la non-con­for­mi­té du pro­duit con­tenant des élé­ments numé­ri­ques est attri­buée à des lacu­nes dans un sché­ma euro­pé­en de cer­ti­fi­ca­ti­on de la cyber­sé­cu­ri­té visé à l’ar­tic­le 27, la Com­mis­si­on exami­ne s’il y a lieu de modi­fier ou d’a­b­ro­ger un acte délé­gué adop­té con­for­mé­ment à l’ar­tic­le 27, para­gra­phe 9, qui éta­blit une pré­somp­ti­on de con­for­mi­té en ce qui con­cer­ne ce sché­ma de certification.
(5) Lorsque la mesu­re natio­na­le est jugée justi­fi­ée et que la non-con­for­mi­té du pro­duit numé­ri­que est attri­buée à des lacu­nes des spé­ci­fi­ca­ti­ons com­mu­nes visées à l’ar­tic­le 27, la Com­mis­si­on exami­ne s’il y a lieu de modi­fier ou d’a­b­ro­ger un acte d’exé­cu­ti­on adop­té con­for­mé­ment à l’ar­tic­le 27, para­gra­phe 2, qui éta­blit les spé­ci­fi­ca­ti­ons communes.
Artic­le 56 Pro­cé­du­re au niveau de l’U­ni­on pour les pro­duits con­tenant des élé­ments numé­ri­ques qui pré­sen­tent un ris­que important en matiè­re de cybersécurité
(1) Lorsque la Com­mis­si­on a des rai­sons suf­fi­san­tes de cro­i­re, y com­pris sur la base d’in­for­ma­ti­ons four­nies par l’E­NISA, qu’un pro­duit con­tenant des élé­ments numé­ri­ques pré­sen­tant un ris­que important pour la cyber­sé­cu­ri­té n’est pas con­for­me aux exi­gen­ces du pré­sent règle­ment, elle en infor­me les auto­ri­tés de sur­veil­lan­ce du mar­ché con­cer­nées. Lorsque les auto­ri­tés de sur­veil­lan­ce du mar­ché procè­dent à une éva­lua­ti­on de la con­for­mi­té de ce pro­duit con­tenant des élé­ments numé­ri­ques qui peut pré­sen­ter un ris­que important pour la cyber­sé­cu­ri­té en ce qui con­cer­ne sa con­for­mi­té aux exi­gen­ces du pré­sent règle­ment, les pro­cé­du­res visées aux artic­les 54 et 55 s’appliquent.
(2) Si la Com­mis­si­on a des rai­sons suf­fi­san­tes de pen­ser qu’un pro­duit con­tenant des élé­ments numé­ri­ques pré­sen­te un ris­que important pour la cyber­sé­cu­ri­té, comp­te tenu de fac­teurs de ris­que non tech­ni­ques, elle en infor­me les auto­ri­tés de sur­veil­lan­ce du mar­ché con­cer­nées et, le cas échéant, les auto­ri­tés com­pé­ten­tes dési­gnées ou mises en place con­for­mé­ment à l’ar­tic­le 8 de la direc­ti­ve (UE) 2022/2555, et coopè­re avec ces auto­ri­tés si néces­saire. La Com­mis­si­on exami­ne éga­le­ment la per­ti­nence des ris­ques iden­ti­fi­és pour ce pro­duit con­tenant des élé­ments numé­ri­ques au regard de ses tâches liées aux éva­lua­tions coor­don­nées des ris­ques en matiè­re de sécu­ri­té de la chaî­ne d’ap­pro­vi­si­on­ne­ment au niveau de l’U­ni­on, con­for­mé­ment à l’ar­tic­le 22 de la direc­ti­ve (UE) 2022/2555, et con­sul­te, si néces­saire, le grou­pe de coopé­ra­ti­on insti­tué par l’ar­tic­le 14 de la direc­ti­ve (UE) 2022/2555 et l’ENISA.
(3) Dans des cir­con­stances justi­fi­ant une action immé­dia­te afin de pré­ser­ver le bon fonc­tion­ne­ment du mar­ché inté­ri­eur et lorsqu’el­le a des rai­sons suf­fi­san­tes de pen­ser que le pro­duit numé­ri­que visé au para­gra­phe 1 n’est tou­jours pas con­for­me aux exi­gen­ces du pré­sent règle­ment et que les auto­ri­tés de sur­veil­lan­ce du mar­ché con­cer­nées n’ont pas pris de mesu­res effi­caces, la Com­mis­si­on procè­de à une éva­lua­ti­on de la con­for­mi­té et peut deman­der à l’E­NISA d’ef­fec­tuer une ana­ly­se pour étay­er cet­te éva­lua­ti­on. La Com­mis­si­on en infor­me les auto­ri­tés de sur­veil­lan­ce du mar­ché con­cer­nées. Les opé­ra­teurs éco­no­mi­ques con­cer­nés coopè­rent avec l’E­NISA dans la mesu­re nécessaire.
(4) Sur la base de l’éva­lua­ti­on visée au para­gra­phe 3, la Com­mis­si­on peut con­clu­re à la néces­si­té d’u­ne action cor­rec­ti­ve ou d’u­ne mesu­re rest­ric­ti­ve au niveau de l’U­ni­on. cet­te fin, elle con­sul­te immé­dia­te­ment les États mem­bres et le ou les opé­ra­teurs éco­no­mi­ques concernés.
(5) Sur la base de la con­sul­ta­ti­on visée au para­gra­phe 4 du pré­sent artic­le, la Com­mis­si­on peut adop­ter des actes d’exé­cu­ti­on con­cer­nant des mesu­res cor­rec­ti­ves ou des mesu­res rest­ric­ti­ves au niveau de l’U­ni­on, y com­pris l’e­xi­gence du retrait du mar­ché ou du rap­pel des pro­duits con­cer­nés con­tenant des élé­ments numé­ri­ques dans un délai pro­por­ti­onné à la natu­re du ris­que. Ces actes d’exé­cu­ti­on sont adop­tés con­for­mé­ment à la pro­cé­du­re d’ex­amen visée à l’ar­tic­le 62, para­gra­phe 2.
(6) La Com­mis­si­on infor­me sans délai le ou les opé­ra­teurs éco­no­mi­ques con­cer­nés des actes d’exé­cu­ti­on visés au para­gra­phe 5. Les États mem­bres met­tent en œuvre ces actes d’exé­cu­ti­on sans délai et en infor­ment la Commission.
(7) Les para­gra­phes 3 à 6 s’ap­pli­quent pen­dant la durée des cir­con­stances excep­ti­on­nel­les qui ont justi­fié l’in­ter­ven­ti­on de la Com­mis­si­on, tant que la con­for­mi­té du pro­duit numé­ri­que con­cer­né avec le pré­sent règle­ment n’a pas été établie.
Artic­le 57 Pro­duits con­for­mes con­tenant des élé­ments numé­ri­ques qui pré­sen­tent un ris­que important en matiè­re de cybersécurité
(1) L’au­to­ri­té de sur­veil­lan­ce du mar­ché d’un État membre invi­te un opé­ra­teur éco­no­mi­que à prend­re tou­tes les mesu­res appro­priées si, à la suite d’u­ne éva­lua­ti­on effec­tuée con­for­mé­ment à l’ar­tic­le 54, elle con­sta­te qu’un pro­duit con­tenant des élé­ments numé­ri­ques et les pro­cé­du­res éta­b­lies par le fab­ri­cant, bien que con­for­mes au pré­sent règle­ment, pré­sen­tent un ris­que important en matiè­re de cyber­sé­cu­ri­té ain­si que les ris­ques suivants :
a) Ris­que pour la san­té ou la sécu­ri­té des personnes,
b) Ris­que pour le respect des obli­ga­ti­ons décou­lant du droit de l’U­ni­on ou du droit natio­nal en matiè­re de pro­tec­tion des droits fondamentaux,
c) ris­que pour la dis­po­ni­bi­li­té, l’au­then­ti­ci­té, l’in­té­gri­té ou la con­fi­den­tia­li­té des ser­vices four­nis par le biais d’un système élec­tro­ni­que d’in­for­ma­ti­on par des enti­tés essen­ti­el­les visées à l’ar­tic­le 3, para­gra­phe 1, de la direc­ti­ve (UE) 2022/2555 ; ou
d) Ris­que pour d’aut­res aspects de la pro­tec­tion des inté­rêts publics.
Les mesu­res visées au pre­mier ali­néa peu­vent com­prend­re des mesu­res visa­nt à garan­tir que le pro­duit numé­ri­que en que­sti­on et les pro­cé­du­res éta­b­lies par le fab­ri­cant ne pré­sen­tent plus les ris­ques per­tin­ents lorsque le pro­duit numé­ri­que en que­sti­on est mis à dis­po­si­ti­on sur le mar­ché, reti­ré du mar­ché ou rap­pelé, et sont pro­por­ti­onnées à la natu­re de ces ris­ques.
(2) Le fab­ri­cant ou tout aut­re opé­ra­teur éco­no­mi­que con­cer­né veil­le à ce que des mesu­res cor­rec­ti­ves soi­ent pri­ses, dans le délai fixé par l’au­to­ri­té de sur­veil­lan­ce du mar­ché de l’É­tat membre visé au para­gra­phe 1, à l’é­gard de tous les pro­duits con­cer­nés con­tenant des élé­ments numé­ri­ques qu’il a mis à dis­po­si­ti­on sur le mar­ché de l’Union.
(3) L’É­tat membre infor­me immé­dia­te­ment la Com­mis­si­on et les aut­res États mem­bres de tou­te mesu­re pri­se en ver­tu du para­gra­phe 1. Ces infor­ma­ti­ons con­ti­en­nent tous les détails dis­po­ni­bles, notam­ment les don­nées per­met­tant d’i­den­ti­fier le pro­duit numé­ri­que con­cer­né, son ori­gi­ne et sa chaî­ne d’ap­pro­vi­si­on­ne­ment, la natu­re du ris­que asso­cié ain­si que la natu­re et la durée des mesu­res natio­na­les adoptées.
(4) La Com­mis­si­on con­sul­te immé­dia­te­ment les États mem­bres et l’opé­ra­teur éco­no­mi­que con­cer­né et procè­de à l’ex­amen des mesu­res natio­na­les adop­tées. En fonc­tion des résul­tats de cet examen, la Com­mis­si­on déci­de si la mesu­re est justi­fi­ée ou non et, si néces­saire, pro­po­se des mesu­res appropriées.
(5) La Com­mis­si­on adres­se aux États mem­bres la décis­i­on visée au para­gra­phe 4.
(6) Lorsque la Com­mis­si­on a des rai­sons suf­fi­san­tes de cro­i­re, y com­pris sur la base d’in­for­ma­ti­ons four­nies par l’E­NISA, qu’un pro­duit con­tenant des élé­ments numé­ri­ques, bien que con­for­me au pré­sent règle­ment, pré­sen­te les ris­ques visés au para­gra­phe 1 du pré­sent artic­le, elle en infor­me la ou les auto­ri­tés de sur­veil­lan­ce du mar­ché con­cer­nées et peut leur deman­der de pro­cé­der à une éva­lua­ti­on et d’ap­pli­quer les pro­cé­du­res visées à l’ar­tic­le 54 et aux para­gra­phes 1, 2 et 3 du pré­sent article.
(7) Dans des cir­con­stances justi­fi­ant une action immé­dia­te afin de pré­ser­ver le bon fonc­tion­ne­ment du mar­ché inté­ri­eur et lorsque la Com­mis­si­on a des rai­sons suf­fi­san­tes de pen­ser que le pro­duit numé­ri­que visé au para­gra­phe 6 pré­sen­te tou­jours les ris­ques visés au para­gra­phe 1 et que les auto­ri­tés de sur­veil­lan­ce du mar­ché con­cer­nées n’ont pas pris de mesu­res effi­caces, la Com­mis­si­on procè­de à une éva­lua­ti­on des ris­ques que pré­sen­te ce pro­duit numé­ri­que et peut deman­der à l’E­NISA de réa­li­ser une ana­ly­se à l’ap­pui de cet­te éva­lua­ti­on et en infor­me les auto­ri­tés de sur­veil­lan­ce du mar­ché con­cer­nées. Les opé­ra­teurs éco­no­mi­ques con­cer­nés coopè­rent avec l’E­NISA dans la mesu­re nécessaire.
(8) Sur la base de l’éva­lua­ti­on visée au para­gra­phe 7, la Com­mis­si­on peut con­clu­re à la néces­si­té d’u­ne action cor­rec­ti­ve ou d’u­ne mesu­re rest­ric­ti­ve au niveau de l’U­ni­on. cet­te fin, elle con­sul­te immé­dia­te­ment les États mem­bres et le ou les opé­ra­teurs éco­no­mi­ques concernés.
(9) Sur la base de la con­sul­ta­ti­on visée au para­gra­phe 8 du pré­sent artic­le, la Com­mis­si­on peut adop­ter des actes d’exé­cu­ti­on con­cer­nant des mesu­res cor­rec­ti­ves ou des mesu­res rest­ric­ti­ves au niveau de l’U­ni­on, y com­pris l’e­xi­gence du retrait du mar­ché ou du rap­pel des pro­duits con­cer­nés con­tenant des élé­ments numé­ri­ques dans un délai pro­por­ti­onné à la natu­re du ris­que. Ces actes d’exé­cu­ti­on sont adop­tés con­for­mé­ment à la pro­cé­du­re d’ex­amen visée à l’ar­tic­le 62, para­gra­phe 2.
(10) La Com­mis­si­on infor­me sans délai le ou les opé­ra­teurs éco­no­mi­ques con­cer­nés des actes d’exé­cu­ti­on visés au para­gra­phe 9. Les États mem­bres met­tent en œuvre ces actes d’exé­cu­ti­on sans délai et en infor­ment la Commission.
(11) Les para­gra­phes 6 à 10 s’ap­pli­quent pen­dant la durée des cir­con­stances excep­ti­on­nel­les qui ont justi­fié l’in­ter­ven­ti­on de la Com­mis­si­on et aus­si long­temps que le pro­duit numé­ri­que con­cer­né con­ti­n­ue de pré­sen­ter les ris­ques visés au para­gra­phe 1.
Artic­le 58 Non-con­for­mi­té formelle
(1) Lorsque l’au­to­ri­té de sur­veil­lan­ce du mar­ché d’un État membre fait l’u­ne des con­sta­ta­ti­ons sui­van­tes, elle deman­de au fab­ri­cant con­cer­né de remé­dier à la non-con­for­mi­té en question :
a) le mar­quage “CE” a été appo­sé en vio­la­ti­on des artic­les 29 et 30 ;
b) le mar­quage CE n’a pas été apposé
c) la décla­ra­ti­on de con­for­mi­té UE n’a pas été délivrée ;
d) la décla­ra­ti­on de con­for­mi­té UE n’a pas été éta­b­lie correctement ;
e) le numé­ro d’i­den­ti­fi­ca­ti­on de l’or­ga­nis­me noti­fié éven­tu­el­le­ment inter­ve­nu dans la pro­cé­du­re d’éva­lua­ti­on de la con­for­mi­té n’a pas été apposé ;
f) la docu­men­ta­ti­on tech­ni­que n’est pas dis­po­ni­ble ou n’est pas complète.
(2) Si la non-con­for­mi­té visée au para­gra­phe 1 per­si­ste, l’É­tat membre con­cer­né prend tou­tes les mesu­res appro­priées pour rest­reind­re ou interd­ire la mise à dis­po­si­ti­on sur le mar­ché du pro­duit con­tenant des élé­ments numé­ri­ques ou pour assurer son rap­pel ou son retrait du marché.
Artic­le 59 Acti­vi­tés con­join­tes des auto­ri­tés de sur­veil­lan­ce du marché
(1) Les auto­ri­tés de sur­veil­lan­ce du mar­ché peu­vent con­ve­nir avec d’aut­res auto­ri­tés com­pé­ten­tes de mener des acti­vi­tés con­join­tes afin d’assurer la cyber­sé­cu­ri­té et la pro­tec­tion des con­som­ma­teurs en ce qui con­cer­ne des pro­duits spé­ci­fi­ques con­tenant des élé­ments numé­ri­ques qui sont com­mer­cia­li­sés ou mis à dis­po­si­ti­on sur le mar­ché, notam­ment en ce qui con­cer­ne les pro­duits con­tenant des élé­ments numé­ri­ques pour les­quels des ris­ques de cyber­sé­cu­ri­té sont fré­quem­ment identifiés.
(2) La Com­mis­si­on ou l’E­NISA pro­po­sent des acti­vi­tés con­join­tes de véri­fi­ca­ti­on du respect du pré­sent règle­ment, à mener par les auto­ri­tés de sur­veil­lan­ce du mar­ché sur la base d’in­di­ca­ti­ons ou d’in­for­ma­ti­ons selon les­quel­les des pro­duits con­tenant des élé­ments numé­ri­ques rele­vant du champ d’ap­pli­ca­ti­on du pré­sent règle­ment pour­rai­ent ne pas être con­for­mes aux exi­gen­ces du pré­sent règle­ment dans plu­sieurs États membres.
(3) Les auto­ri­tés de sur­veil­lan­ce du mar­ché et, le cas échéant, la Com­mis­si­on veil­lent à ce que l’ac­cord d’ac­ti­vi­tés com­mu­nes n’en­traî­ne pas de con­cur­rence déloya­le ent­re opé­ra­teurs éco­no­mi­ques et ne com­pro­met­te pas l’ob­jec­ti­vi­té, l’in­dé­pen­dance ou l’im­par­tia­li­té des par­ties à l’accord.
(4) Une auto­ri­té de sur­veil­lan­ce du mar­ché peut uti­li­ser tou­te infor­ma­ti­on obte­nue dans le cad­re d’ac­ti­vi­tés con­join­tes faisant par­tie d’u­ne enquête qu’el­le a menée.
(5) L’au­to­ri­té de sur­veil­lan­ce du mar­ché con­cer­née et, le cas échéant, la Com­mis­si­on met­tent à la dis­po­si­ti­on du public l’ac­cord rela­tif aux acti­vi­tés com­mu­nes, y com­pris les noms des par­ties concernées.
Artic­le 60 Con­trô­les coor­don­nés (bala­ya­ges)
(1) Les auto­ri­tés de sur­veil­lan­ce du mar­ché procè­dent à des con­trô­les coor­don­nés simul­ta­nés (“bala­ya­ges”) de cer­ta­ins pro­duits con­tenant des élé­ments numé­ri­ques afin de véri­fier le respect du pré­sent règle­ment ou de détec­ter des infrac­tions à celui-ci. Ces bala­ya­ges peu­vent éga­le­ment inclu­re l’in­spec­tion de pro­duits con­tenant des élé­ments numé­ri­ques ache­tés sous une fausse identité.
(2) Sauf accord con­trai­re ent­re les auto­ri­tés de sur­veil­lan­ce du mar­ché con­cer­nées, ces bala­ya­ges sont coor­don­nés par la Com­mis­si­on. Le coor­di­na­teur du bala­ya­ge publie les résul­tats agré­gés, le cas échéant.
(3) Si, dans l’e­xer­ci­ce de ses fonc­tions, l’E­NISA déter­mi­ne, notam­ment sur la base des noti­fi­ca­ti­ons reçues con­for­mé­ment à l’ar­tic­le 14, para­gra­phes 1 et 3, des caté­go­ries de pro­duits con­tenant des élé­ments numé­ri­ques pour les­quel­les des bala­ya­ges peu­vent être orga­ni­sés, elle sou­met une pro­po­si­ti­on de bala­ya­ges au coor­don­na­teur visé au para­gra­phe 2 du pré­sent artic­le, pour examen par les auto­ri­tés de sur­veil­lan­ce du marché.
(4) Lorsqu’el­les procè­dent à des bala­ya­ges, les auto­ri­tés de sur­veil­lan­ce du mar­ché con­cer­nées peu­vent fai­re usa­ge des pou­voirs d’en­quête pré­vus aux artic­les 52 à 58 et de tout aut­re pou­voir qui leur est con­fé­ré par le droit national.
(5) Les auto­ri­tés de sur­veil­lan­ce du mar­ché peu­vent invi­ter des fonc­tion­n­aires de la Com­mis­si­on et d’aut­res accom­pa­gna­teurs auto­ri­sés par la Com­mis­si­on à par­ti­ci­per à des balayages.

Cha­pit­re VI Délé­ga­ti­on de pou­voirs et pro­cé­du­re de comité

Artic­le 61 Exer­ci­ce de la délé­ga­ti­on de pouvoir
(1) Le pou­voir d’ad­op­ter des actes délé­gués est con­fé­ré à la Com­mis­si­on, sous réser­ve des con­di­ti­ons fixées par le pré­sent article.
(2) Le pou­voir d’ad­op­ter des actes délé­gués visé à l’ar­tic­le 2, para­gra­phe 5, deu­xiè­me ali­néa, à l’ar­tic­le 7, para­gra­phe 3, à l’ar­tic­le 8, para­gra­phes 1 et 2, à l’ar­tic­le 13, para­gra­phe 8, qua­triè­me ali­néa, à l’ar­tic­le 14, para­gra­phe 9, à l’ar­tic­le 25, à l’ar­tic­le 27, para­gra­phe 9, à l’ar­tic­le 28, para­gra­phe 5, et à l’ar­tic­le 31, para­gra­phe 5, est con­fé­ré à la Com­mis­si­on pour une péri­ode de cinq ans à comp­ter du 10 décembre 2024. La Com­mis­si­on éla­bo­re un rap­port rela­tif à la délé­ga­ti­on de pou­voir au plus tard neuf mois avant la fin de la péri­ode de cinq ans. La délé­ga­ti­on de pou­voir est taci­te­ment recon­duite pour des péri­odes d’u­ne durée iden­tique, sauf si le Par­le­ment euro­pé­en ou le Con­seil s’op­po­se à cet­te recon­duc­tion trois mois au moins avant la fin de la péri­ode concernée.
(3) La délé­ga­ti­on de pou­voir visée à l’ar­tic­le 2, para­gra­phe 5, deu­xiè­me ali­néa, à l’ar­tic­le 7, para­gra­phe 3, à l’ar­tic­le 8, para­gra­phes 1 et 2, à l’ar­tic­le 13, para­gra­phe 8, qua­triè­me ali­néa, à l’ar­tic­le 14, para­gra­phe 9, à l’ar­tic­le 25, à l’ar­tic­le 27, para­gra­phe 9, à l’ar­tic­le 28, para­gra­phe 5, et à l’ar­tic­le 31, para­gra­phe 5, peut être révo­quée à tout moment par le Par­le­ment euro­pé­en ou le Con­seil. La décis­i­on de révo­ca­ti­on met fin à la délé­ga­ti­on du pou­voir spé­ci­fié dans cet­te décis­i­on. Elle prend effet le jour sui­vant celui de sa publi­ca­ti­on au Jour­nal offi­ci­el de l’U­ni­on euro­pé­en­ne ou à une date ulté­ri­eu­re pré­cis­ée dans la décis­i­on de révo­ca­ti­on. La décis­i­on de révo­ca­ti­on n’af­fec­te pas la vali­di­té des actes délé­gués déjà en vigueur.
(4) Avant d’ad­op­ter un acte délé­gué, la Com­mis­si­on con­sul­te les experts dési­gnés par chaque État membre, con­for­mé­ment aux prin­cipes énon­cés dans l’ac­cord inter­in­sti­tu­ti­on­nel “Mieux légifé­rer” du 13 avril 2016.
(5) Dès que la Com­mis­si­on adop­te un acte délé­gué, elle le trans­met simul­ta­né­ment au Par­le­ment euro­pé­en et au Conseil.
(6) Un acte délé­gué adop­té en ver­tu de l’ar­tic­le 2, para­gra­phe 5, deu­xiè­me ali­néa, de l’ar­tic­le 7, para­gra­phe 3, de l’ar­tic­le 8, para­gra­phes 1 ou 2, de l’ar­tic­le 13, para­gra­phe 8, qua­triè­me ali­néa, de l’ar­tic­le 14, para­gra­phe 9, de l’ar­tic­le 25, de l’ar­tic­le 27, para­gra­phe 9, de l’ar­tic­le 28, para­gra­phe 5, ou de l’ar­tic­le 31, para­gra­phe 5, n’ent­re en vigueur que si ni le Par­le­ment euro­pé­en ni le Con­seil n’ont expri­mé d’ob­jec­tions dans un délai de deux mois à comp­ter de la noti­fi­ca­ti­on dudit acte au Par­le­ment euro­pé­en et au Con­seil ou si, avant l’ex­pi­ra­ti­on de ce délai, le Par­le­ment euro­pé­en et le Con­seil ont tous deux infor­mé la Com­mis­si­on de leur inten­ti­on de ne pas expri­mer d’ob­jec­tions. l’initia­ti­ve du Par­le­ment euro­pé­en ou du Con­seil, ce délai est pro­lon­gé de deux mois.
Artic­le 62 Pro­cé­du­re de comité
(1) La Com­mis­si­on est assi­s­tée par un comi­té. Ce comi­té est un comi­té au sens du règle­ment (UE) no 182/2011.
(2) Dans le cas où il est fait réfé­rence au pré­sent para­gra­phe, l’ar­tic­le 5 du règle­ment (UE) n° 182/2011 s’applique.
(3) Lorsque l’a­vis du comi­té est recu­eil­li par pro­cé­du­re écri­te, la pro­cé­du­re est clo­se sans résul­tat si la pré­si­dence du comi­té en déci­de ain­si dans le délai impar­ti pour rend­re l’a­vis ou si un membre du comi­té le demande.

Cha­pit­re VII Con­fi­den­tia­li­té et sanctions 

Artic­le 63 Confidentialité
(1) Tou­tes les par­ties con­cer­nées par l’ap­pli­ca­ti­on du pré­sent règle­ment respec­tent la con­fi­den­tia­li­té des infor­ma­ti­ons et des don­nées dont elles pren­nent con­nais­sance dans l’e­xer­ci­ce de leurs fonc­tions et acti­vi­tés, et pro­tègent notamment
a) les droits de pro­prié­té intellec­tu­el­le, les infor­ma­ti­ons com­mer­cia­les con­fi­den­ti­el­les ou les secrets d’af­fai­res de per­son­nes phy­si­ques ou mora­les, y com­pris le code source, à l’ex­cep­ti­on des cas visés à l’ar­tic­le 5 de la direc­ti­ve (UE) 2016/943 du Par­le­ment euro­pé­en et du Con­seil (37),
b) la mise en œuvre effec­ti­ve du pré­sent règle­ment, notam­ment aux fins d’in­spec­tion, d’en­quête ou d’audit,
c) les inté­rêts de la sécu­ri­té publi­que et nationale,
d) l’in­té­gri­té des pro­cé­du­res péna­les ou administratives.
(2) Sans pré­ju­di­ce du para­gra­phe 1, les infor­ma­ti­ons que les auto­ri­tés de sur­veil­lan­ce du mar­ché ont échan­gées ent­re elles ou avec la Com­mis­si­on à tit­re con­fi­den­tiel ne sont pas divul­guées sans l’ac­cord pré­alable de l’au­to­ri­té de sur­veil­lan­ce du mar­ché qui a four­ni ces informations.
(3) Les para­gra­phes 1 et 2 n’af­fec­tent pas les droits et obli­ga­ti­ons de la Com­mis­si­on, des États mem­bres et des orga­nis­mes noti­fi­és en matiè­re d’é­ch­an­ge d’in­for­ma­ti­ons et de dif­fu­si­on des aler­tes, ni les obli­ga­ti­ons des per­son­nes con­cer­nées de four­nir des infor­ma­ti­ons sur la base du droit pénal des États membres.
(4) La Com­mis­si­on et les États mem­bres peu­vent, si néces­saire, éch­an­ger des infor­ma­ti­ons sen­si­bles avec les auto­ri­tés com­pé­ten­tes des pays tiers avec les­quels ils ont con­clu des accords de con­fi­den­tia­li­té bila­té­raux ou mul­ti­la­té­raux et qui assu­rent un niveau de pro­tec­tion adéquat.
Artic­le 64 Sanctions
(1) Les États mem­bres déter­mi­nent le régime des sanc­tions appli­ca­bles aux vio­la­ti­ons des dis­po­si­ti­ons du pré­sent règle­ment et pren­nent tou­te mesu­re néces­saire pour assurer la mise en œuvre de cel­les-ci. Les sanc­tions ain­si pré­vues doi­vent être effec­ti­ves, pro­por­ti­onnées et dissua­si­ves. Les États mem­bres noti­fi­ent ces dis­po­si­ti­ons et mesu­res à la Com­mis­si­on sans délai et l’in­for­ment de tou­te modi­fi­ca­ti­on ulté­ri­eu­re les concernant.
(2) Le non-respect des exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I ou des obli­ga­ti­ons pré­vues aux artic­les 13 et 14 ent­raî­ne l’im­po­si­ti­on d’a­men­des pou­vant aller jus­qu’à 15 000 000 EUR ou, dans le cas des ent­re­pri­ses, jus­qu’à 2,5 % du chif­fre d’af­fai­res annu­el mon­di­al total réa­li­sé au cours de l’e­xer­ci­ce pré­cé­dent, le mon­tant le plus éle­vé étant retenu.
(3) En cas de non-respect des obli­ga­ti­ons pré­vues aux artic­les 18 à 23, à l’ar­tic­le 28, à l’ar­tic­le 30, para­gra­phes 1 à 4, à l’ar­tic­le 31, para­gra­phes 1 à 4, à l’ar­tic­le 32, para­gra­phes 1, 2 et 3, à l’ar­tic­le 33, para­gra­phe 5, et aux artic­les 39, 41, 47, 49 et 53, des amen­des pou­vant att­eind­re 10 000 000 EUR ou, dans le cas d’u­ne ent­re­pri­se, 2 % du chif­fre d’af­fai­res annu­el total réa­li­sé au niveau mon­di­al au cours de l’e­xer­ci­ce pré­cé­dent, le mon­tant le plus éle­vé étant rete­nu, sont infligées.
(4) Le fait de four­nir des infor­ma­ti­ons fausses, incom­plè­tes ou trom­peu­ses aux orga­nis­mes noti­fi­és et aux auto­ri­tés de sur­veil­lan­ce du mar­ché qui en font la deman­de est pas­si­ble d’a­men­des pou­vant att­eind­re 5 000 000 EUR ou, dans le cas d’u­ne ent­re­pri­se, 1 % du chif­fre d’af­fai­res annu­el total réa­li­sé au niveau mon­di­al au cours de l’e­xer­ci­ce pré­cé­dent, le mon­tant le plus éle­vé étant retenu.
(5) Pour déter­mi­ner le mon­tant de l’a­men­de, il est dûment tenu comp­te, dans chaque cas, de tou­tes les cir­con­stances per­ti­nen­tes de la situa­ti­on con­crè­te, ain­si que des élé­ments suivants :
a) la natu­re, la gra­vi­té et la durée de l’in­frac­tion et ses conséquences,
b) si des amen­des ont déjà été inf­li­gées au même opé­ra­teur éco­no­mi­que par les mêmes auto­ri­tés de sur­veil­lan­ce du mar­ché ou par d’aut­res auto­ri­tés de sur­veil­lan­ce du mar­ché pour une infrac­tion similaire,
c) la tail­le, notam­ment en ce qui con­cer­ne les micro, peti­tes et moy­ennes ent­re­pri­ses, y com­pris les start-up, et la part de mar­ché de l’opé­ra­teur éco­no­mi­que qui a com­mis l’infraction.
(6) Les auto­ri­tés de sur­veil­lan­ce du mar­ché qui impo­sent des amen­des infor­ment les auto­ri­tés de sur­veil­lan­ce du mar­ché des aut­res États mem­bres de l’im­po­si­ti­on d’u­ne amen­de au moy­en du système d’in­for­ma­ti­on et de com­mu­ni­ca­ti­on visé à l’ar­tic­le 34 du règle­ment (UE) 2019/1020.
(7) Chaque État membre adop­te des règles pré­cisant si et dans quel­le mesu­re des amen­des peu­vent être inf­li­gées aux auto­ri­tés et orga­nis­mes publics étab­lis dans cet État membre.
(8) En fonc­tion du système juri­di­que de l’É­tat membre con­cer­né, les règles rela­ti­ves aux amen­des peu­vent être appli­quées de maniè­re à ce que les amen­des soi­ent inf­li­gées par les juri­dic­tions natio­na­les com­pé­ten­tes ou par d’aut­res instances, con­for­mé­ment à la répar­ti­ti­on des com­pé­ten­ces éta­b­lie au niveau natio­nal dans les États mem­bres. L’ap­pli­ca­ti­on de ces règles dans ces États mem­bres doit avoir un effet équivalent.
(9) Des amen­des peu­vent être impo­sées, selon les cir­con­stances de chaque cas, en plus d’aut­res mesu­res cor­rec­ti­ves ou rest­ric­ti­ves impo­sées par les auto­ri­tés de sur­veil­lan­ce du mar­ché pour la même infraction.
(10) Par déro­ga­ti­on aux para­gra­phes 3 à 9, les amen­des visées dans ces para­gra­phes ne s’ap­pli­quent pas
a) les pro­duc­teurs con­sidé­rés com­me des micro ou des peti­tes ent­re­pri­ses, en ce qui con­cer­ne le non-respect du délai visé à l’ar­tic­le 14, para­gra­phe 2, point a), ou à l’ar­tic­le 14, para­gra­phe 4, point a),
b) les admi­ni­stra­teurs de logi­ciels à code source ouvert pour tou­te vio­la­ti­on du pré­sent règlement.
Artic­le 65 Actions collectives
La direc­ti­ve (UE) 2020/1828 s’ap­pli­que aux actions coll­ec­ti­ves inten­tées cont­re les infrac­tions com­mi­ses par des opé­ra­teurs éco­no­mi­ques aux dis­po­si­ti­ons du pré­sent règle­ment qui portent att­ein­te ou ris­quent de por­ter att­ein­te aux inté­rêts coll­ec­tifs des consommateurs. 

Cha­pit­re VIII Dis­po­si­ti­ons tran­si­toires et finales

Artic­le 66 Modi­fi­ca­ti­on du règle­ment (UE) 2019/1020
l’an­ne­xe I du règle­ment (UE) 2019/1020, le point sui­vant est ajou­té : “72. Règle­ment (UE) 2024/2847 du Par­le­ment euro­pé­en et du Con­seil (*1).
Artic­le 67 Modi­fi­ca­ti­on de la direc­ti­ve (UE) 2020/1828
Le point sui­vant est ajou­té à l’an­ne­xe I de la direc­ti­ve (UE) 2020/1828 : “(69) Règle­ment (UE) 2024/2847 du Par­le­ment euro­pé­en et du Con­seil (*2).
Artic­le 68 Modi­fi­ca­ti­ons du règle­ment (UE) n° 168/2013
l’an­ne­xe II, par­tie C1, du règle­ment (UE) no 168/2013 du Par­le­ment euro­pé­en et du Con­seil (38), l’en­trée sui­van­te est ajou­tée au tableau : “[…]” 
Artic­le 69 Dis­po­si­ti­ons transitoires
(1) Les atte­sta­ti­ons d’ex­amen de type et les appro­ba­ti­ons de l’U­ni­on déli­v­rées en ce qui con­cer­ne les exi­gen­ces de cyber­sé­cu­ri­té appli­ca­bles aux pro­duits con­tenant des élé­ments numé­ri­ques sou­mis à une légis­la­ti­on d’har­mo­ni­sa­ti­on de l’U­ni­on aut­re que le pré­sent règle­ment restent val­ables jus­qu’au 11 juin 2028, sauf si elles expi­rent avant cet­te date ou si une aut­re légis­la­ti­on d’har­mo­ni­sa­ti­on de l’U­ni­on en dis­po­se autre­ment, auquel cas elles restent val­ables con­for­mé­ment à cet­te der­niè­re législation.
(2) Les pro­duits con­tenant des élé­ments numé­ri­ques qui ont été mis sur le mar­ché avant le 11 décembre 2027 ne sont sou­mis aux exi­gen­ces pré­vues par le pré­sent règle­ment que si, après cet­te date, ces pro­duits font l’ob­jet d’u­ne modi­fi­ca­ti­on substantielle.
(3) Par déro­ga­ti­on au para­gra­phe 2 du pré­sent artic­le, les obli­ga­ti­ons énon­cées à l’ar­tic­le 14 s’ap­pli­quent à tous les pro­duits con­tenant des élé­ments numé­ri­ques qui relè­vent du champ d’ap­pli­ca­ti­on du pré­sent règle­ment et qui ont été mis sur le mar­ché avant le 11 décembre 2027.
Artic­le 70 Éva­lua­ti­on et réexamen
(1) Au plus tard le 11 décembre 2030, puis tous les quat­re ans, la Com­mis­si­on pré­sen­te au Par­le­ment euro­pé­en et au Con­seil un rap­port d’éva­lua­ti­on et de réex­amen du pré­sent règle­ment. Ces rap­ports sont ren­dus publics.
(2) Au plus tard le 11 sep­tembre 2028, la Com­mis­si­on, après avoir con­sul­té l’E­NISA et le réseau des CSIRT, pré­sen­te au Par­le­ment euro­pé­en et au Con­seil un rap­port éva­lu­ant l’ef­fi­ca­ci­té de la pla­te-for­me de noti­fi­ca­ti­on uni­que visée à l’ar­tic­le 16, ain­si que l’in­ci­dence de l’in­vo­ca­ti­on des motifs de cyber­sé­cu­ri­té visés à l’ar­tic­le 16, para­gra­phe 2, par les CSIRT dési­gnés com­me coor­di­na­teurs, sur l’ef­fi­ca­ci­té de la pla­te-for­me de noti­fi­ca­ti­on uni­que en ce qui con­cer­ne la trans­mis­si­on en temps uti­le des noti­fi­ca­ti­ons reçues aux aut­res CSIRT concernés.
Artic­le 71 Entrée en vigueur et date d’application
(1) Le pré­sent règle­ment ent­re en vigueur le ving­tiè­me jour sui­vant celui de sa publi­ca­ti­on au Jour­nal offi­ci­el de l’U­ni­on européenne.
(2) Tou­te­fois, l’ar­tic­le 14 s’ap­pli­que à comp­ter du 11 sep­tembre 2026 et le cha­pit­re IV (artic­les 35 à 51) s’ap­pli­que à comp­ter du 11 juin 2026. Le pré­sent règle­ment est obli­ga­toire dans tous ses élé­ments et direc­te­ment appli­ca­ble dans tout État membre.

Anne­xes

Anne­xe I Exi­gen­ces de base en matiè­re de cybersécurité

Par­tie I Exi­gen­ces de cyber­sé­cu­ri­té rela­ti­ves aux carac­té­ri­sti­ques des pro­duits con­tenant des élé­ments numériques
(1) Les pro­duits con­tenant des élé­ments numé­ri­ques sont con­çus, déve­lo­p­pés et fab­ri­qués de maniè­re à garan­tir un niveau de cyber­sé­cu­ri­té adé­quat comp­te tenu des ris­ques encourus.
(2) Sur la base de l’éva­lua­ti­on des ris­ques de cyber­sé­cu­ri­té visée à l’ar­tic­le 13, para­gra­phe 2, les pro­duits con­tenant des élé­ments numé­ri­ques, le cas échéant,
a) être mis à dis­po­si­ti­on sur le mar­ché sans vul­né­ra­bi­li­tés explo­ita­bles connues,
b) être mis à dis­po­si­ti­on sur le mar­ché avec une con­fi­gu­ra­ti­on stan­dard sécu­ri­sée, sauf accord con­trai­re ent­re le fab­ri­cant et l’uti­li­sa­teur pro­fes­si­on­nel en ce qui con­cer­ne un pro­duit sur mesu­re con­tenant des élé­ments numé­ri­ques, et offrir la pos­si­bi­li­té de réta­b­lir le pro­duit dans son état initial,
c) veil­ler à ce que les vul­né­ra­bi­li­tés pui­s­sent être cor­ri­gées par des mises à jour de sécu­ri­té, y com­pris, le cas échéant, par des mises à jour de sécu­ri­té auto­ma­ti­ques instal­lées par défaut dans un délai rai­sonnable, et dis­po­ser d’un méca­nis­me de refus clair et con­vi­vi­al per­met­tant aux uti­li­sa­teurs d’êt­re infor­més des mises à jour dis­po­ni­bles et de les repor­ter temporairement ;
d) offrent une pro­tec­tion cont­re les accès non auto­ri­sés grâ­ce à des méca­nis­mes de con­trô­le appro­priés, y com­pris, au mini­mum, des systè­mes d’au­then­ti­fi­ca­ti­on, d’i­den­ti­té ou de gesti­on des accès, et signalent tout accès non auto­ri­sé éventuel,
e) pro­té­ger la con­fi­den­tia­li­té des don­nées à carac­tère per­son­nel ou aut­res qui sont stockées, trans­mi­ses ou trai­tées d’u­ne aut­re maniè­re, par exemp­le en cryp­tant les don­nées per­ti­nen­tes qui sont stockées ou en cours d’uti­li­sa­ti­on ou de trans­mis­si­on, en uti­li­sant des méca­nis­mes de poin­te et en recou­rant à d’aut­res moy­ens techniques,
f) pro­té­ger l’in­té­gri­té des don­nées stockées, trans­mi­ses ou trai­tées d’u­ne aut­re maniè­re, qu’il s’a­gis­se de don­nées à carac­tère per­son­nel ou aut­re, de com­man­des, de pro­gram­mes et de con­fi­gu­ra­ti­ons cont­re tou­te mani­pu­la­ti­on ou modi­fi­ca­ti­on non auto­ri­sée par l’uti­li­sa­teur, et signal­er tou­te dété­rio­ra­ti­on de celles-ci
g) limi­ter le trai­te­ment des don­nées à carac­tère per­son­nel ou d’aut­res don­nées à cel­les qui sont adé­qua­tes et per­ti­nen­tes et à cel­les qui sont néces­saires à la fina­li­té du pro­duit con­tenant des élé­ments numé­ri­ques (“mini­mi­sa­ti­on des données”),
h) assurer la dis­po­ni­bi­li­té des fonc­tions essen­ti­el­les et de base, même après un inci­dent de sécu­ri­té, y com­pris par des mesu­res de défen­se et de con­fi­ne­ment cont­re les atta­ques par satu­ra­ti­on des ser­ve­urs (atta­ques par déni de service),
i) mini­mi­ser l’im­pact néga­tif des pro­duits eux-mêmes ou des appareils en réseau sur la dis­po­ni­bi­li­té des ser­vices four­nis par d’aut­res appareils ou réseaux,
j) être con­çus, déve­lo­p­pés et fab­ri­qués de maniè­re à offrir le moins de sur­faces d’at­taque pos­si­ble, y com­pris pour les inter­faces externes
k) être con­çus, déve­lo­p­pés et fab­ri­qués de maniè­re à rédui­re l’im­pact d’un inci­dent de sécu­ri­té par des méca­nis­mes et des tech­ni­ques appro­priés visa­nt à en atté­nuer l’ex­plo­ita­ti­on potentielle,
l) four­nir des infor­ma­ti­ons rela­ti­ves à la sécu­ri­té en enre­gi­strant et/ou en sur­veil­lant les opé­ra­ti­ons inter­nes per­ti­nen­tes, tel­les que l’ac­cès aux don­nées, aux ser­vices ou aux fonc­tion­na­li­tés et les modi­fi­ca­ti­ons appor­tées à ceux-ci, et en met­tant à la dis­po­si­ti­on des uti­li­sa­teurs un méca­nis­me d’opt-out,
m) offrir aux uti­li­sa­teurs la pos­si­bi­li­té d’effacer de maniè­re per­ma­nen­te, sûre et simp­le tou­tes les don­nées et tous les paramè­tres et, si ces don­nées peu­vent être trans­fé­rées vers d’aut­res pro­duits ou systè­mes, veil­ler à ce que cela se fas­se de maniè­re sécurisée.
Par­tie II Exi­gen­ces en matiè­re de trai­te­ment des vulnérabilités
Les fab­ri­cants de pro­duits con­tenant des élé­ments numé­ri­ques doi­vent
(1) Iden­ti­fier et docu­men­ter les points fai­bles et les com­po­sants des pro­duits à l’ai­de d’é­lé­ments numé­ri­ques, notam­ment en créant une nomen­cla­tu­re logi­ciel­le dans un for­mat cou­rant lisi­ble par une machi­ne, qui indi­que au moins les dépen­dan­ces de haut niveau des produits ;
(2) en ce qui con­cer­ne les ris­ques liés aux pro­duits con­tenant des élé­ments numé­ri­ques, trai­ter et cor­ri­ger sans délai les vul­né­ra­bi­li­tés, y com­pris en four­nis­sant des mises à jour de sécu­ri­té ; dans la mesu­re où cela est tech­ni­quement pos­si­ble, les nou­vel­les mises à jour de sécu­ri­té doi­vent être four­nies sépa­ré­ment des mises à jour fonctionnelles ;
(3) tester et véri­fier régu­liè­re­ment et effi­ca­ce­ment la sécu­ri­té du pro­duit avec des élé­ments numériques ;
(4) dès qu’u­ne mise à jour de sécu­ri­té a été four­nie, par­ta­ger et publier des infor­ma­ti­ons sur les vul­né­ra­bi­li­tés cor­ri­gées, y com­pris une descrip­ti­on des vul­né­ra­bi­li­tés avec des infor­ma­ti­ons per­met­tant aux uti­li­sa­teurs d’i­den­ti­fier le pro­duit numé­ri­que con­cer­né, l’im­pact des vul­né­ra­bi­li­tés et leur gra­vi­té, ain­si que des infor­ma­ti­ons clai­res et com­pré­hen­si­bles pour aider les uti­li­sa­teurs à remé­dier aux vul­né­ra­bi­li­tés ; dans des cas dûment justi­fi­és, lorsque les fab­ri­cants esti­ment que les ris­ques liés à la publi­ca­ti­on l’em­portent sur les avan­ta­ges en ter­mes de sécu­ri­té, ils peu­vent dif­fé­rer la publi­ca­ti­on d’in­for­ma­ti­ons sur une vul­né­ra­bi­li­té cor­ri­gée jus­qu’à ce que les uti­li­sa­teurs aient eu la pos­si­bi­li­té d’ap­pli­quer le cor­rec­tif correspondant ;
(5) éla­bo­rer et mett­re en œuvre une stra­té­gie de divul­ga­ti­on coor­don­née des vulnérabilités ;
(6) prend­re des mesu­res pour faci­li­ter l’é­ch­an­ge d’in­for­ma­ti­ons sur les vul­né­ra­bi­li­tés éven­tu­el­les de leur pro­duit con­tenant des élé­ments numé­ri­ques et des com­po­sants de tiers qu’il con­ti­ent, notam­ment en indi­quant une adres­se de cont­act pour le signa­le­ment des vul­né­ra­bi­li­tés décou­ver­tes dans le pro­duit con­tenant des élé­ments numériques ;
(7) four­nir des méca­nis­mes de dif­fu­si­on sécu­ri­sée des mises à jour pour les pro­duits con­tenant des élé­ments numé­ri­ques, de maniè­re à ce que les vul­né­ra­bi­li­tés soi­ent cor­ri­gées ou con­te­nues en temps uti­le et, le cas échéant, auto­ma­ti­quement en cas de mise à jour de la sécurité ;
(8) veil­ler à ce que les mises à jour de sécu­ri­té dis­po­ni­bles pour résoud­re les pro­blè­mes de sécu­ri­té iden­ti­fi­és soi­ent dif­fusées rapi­de­ment et, sauf accord con­trai­re ent­re le fab­ri­cant et l’uti­li­sa­teur pro­fes­si­on­nel en ce qui con­cer­ne un pro­duit sur mesu­re con­tenant des élé­ments numé­ri­ques, gra­tui­te­ment, accom­pa­gnées d’ins­truc­tions et d’in­for­ma­ti­ons per­ti­nen­tes, y com­pris sur les mesu­res éven­tu­el­les à prendre.

Anne­xe II Infor­ma­ti­ons et ins­truc­tions pour l’utilisateur

Le pro­duit con­tenant des élé­ments numé­ri­ques doit être accom­pa­gné au mini­mum des élé­ments sui­vants :
1.le nom, le nom com­mer­cial enre­gi­stré ou la mar­que com­mer­cia­le enre­gi­strée du fab­ri­cant, l’adres­se posta­le, l’adres­se élec­tro­ni­que ou tout aut­re moy­en de cont­act numé­ri­que et, le cas échéant, le site web sur lequel le fab­ri­cant peut être contacté ;
2.le point de cont­act cen­tral où peu­vent être signa­lées et reçues les infor­ma­ti­ons sur les vul­né­ra­bi­li­tés du pro­duit con­tenant des élé­ments numé­ri­ques et où l’on peut trou­ver l’appro­che de la divul­ga­ti­on coor­don­née des vulnérabilités ;
3.le nom et le type, ain­si que tou­te infor­ma­ti­on sup­p­lé­men­tai­re per­met­tant d’i­den­ti­fier clai­re­ment le pro­duit avec des élé­ments numériques
4.la desti­na­ti­on du pro­duit avec des élé­ments numé­ri­ques, y com­pris l’en­vi­ron­ne­ment de sécu­ri­té four­ni par le fab­ri­cant, ain­si que les prin­ci­pa­les fonc­tions du pro­duit et des infor­ma­ti­ons sur les carac­té­ri­sti­ques de sécurité ;
5.tou­te cir­con­stance con­nue ou pré­vi­si­ble liée à l’uti­li­sa­ti­on pré­vue du pro­duit con­tenant des élé­ments numé­ri­ques ou à sa mau­vai­se uti­li­sa­ti­on rai­sonnablem­ent pré­vi­si­ble, sus­cep­ti­ble d’en­traî­ner des ris­ques importants en matiè­re de cybersécurité ;
6.le cas échéant, l’adres­se inter­net à laquel­le la décla­ra­ti­on de con­for­mi­té UE peut être consultée ;
7.le type d’as­si­stance tech­ni­que à la sécu­ri­té pro­po­sé par le fab­ri­cant et la date de fin de la péri­ode d’as­si­stance pen­dant laquel­le les uti­li­sa­teurs peu­vent s’at­tendre à la cor­rec­tion des vul­né­ra­bi­li­tés et à la récep­ti­on de mises à jour de sécurité ;
8.des ins­truc­tions détail­lées ou une adres­se Inter­net ren­voyant à de tel­les ins­truc­tions et infor­ma­ti­ons détaillées,
a) les mesu­res à prend­re lors de la pre­miè­re mise en ser­vice et tout au long du cycle de vie du pro­duit con­tenant des élé­ments numé­ri­ques afin de garan­tir son uti­li­sa­ti­on en tou­te sécurité,
b) com­ment les modi­fi­ca­ti­ons appor­tées au pro­duit con­tenant des élé­ments numé­ri­ques peu­vent avoir une inci­dence sur la sécu­ri­té des données,
c) com­ment instal­ler les mises à jour liées à la sécurité,
d) com­ment pro­cé­der à une mise hors ser­vice sécu­ri­sée du pro­duit avec des élé­ments numé­ri­ques et com­ment sup­p­ri­mer en tou­te sécu­ri­té les don­nées des utilisateurs ;
e) com­ment désac­ti­ver le paramèt­re par défaut qui per­met l’in­stal­la­ti­on auto­ma­tique des mises à jour de sécu­ri­té, con­for­mé­ment à l’an­ne­xe I, par­tie I, point c) ;
f) com­ment l’in­té­gra­teur peut satis­fai­re aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I et aux exi­gen­ces rela­ti­ves à la docu­men­ta­ti­on tech­ni­que énon­cées à l’an­ne­xe VII lorsque le pro­duit con­tenant des élé­ments numé­ri­ques est desti­né à être inté­g­ré dans d’aut­res pro­duits con­tenant des élé­ments numériques ;
9.dans le cas où le fab­ri­cant met la nomen­cla­tu­re du logi­ciel à la dis­po­si­ti­on de l’uti­li­sa­teur, où il est pos­si­ble d’ac­cé­der à la nomen­cla­tu­re du logiciel.

Anne­xe III Prin­ci­paux pro­duits con­tenant des élé­ments numériques

Clas­se I

1.les systè­mes de gesti­on de l’i­den­ti­té, les logi­ciels et le maté­ri­el de gesti­on des accès pri­vilé­giés, y com­pris les lec­teurs d’au­then­ti­fi­ca­ti­on et de con­trô­le d’ac­cès, y com­pris les lec­teurs biométriques
2.navi­ga­teurs auto­no­mes et intégrés
3.Gesti­on­n­aire de mots de passe
4.Logi­ciel de recher­che, de sup­pres­si­on et de mise en qua­ran­taine des logi­ciels malveillants
5.Pro­duits con­tenant des élé­ments numé­ri­ques ayant une fonc­tion de réseau pri­vé vir­tuel (VPN)
6.Systè­mes de gesti­on de réseau
7.Systè­mes de gesti­on des infor­ma­ti­ons et des évé­ne­ments de sécu­ri­té (SIEM)
8.Gesti­on­n­aire de démarrage
9.Infras­truc­tures à clé publi­que et logi­ciels pour l’é­mis­si­on de cer­ti­fi­cats numériques
10.inter­faces de réseau phy­si­ques et virtuelles
11.Systè­mes d’exploitation
12.Rou­teurs, modems pour la con­ne­xi­on à Inter­net et commutateurs
13.Micro­pro­ce­s­seurs avec fonc­tions liées à la sécurité
14.Micro­con­trô­leur avec fonc­tions de sécurité
15.cir­cuits inté­g­rés spé­ci­fi­ques aux appli­ca­ti­ons (ASIC) et FPGA (Field Pro­gramma­ble Gate Array) avec fonc­tions de sécurité
16.assi­stants vir­tuels pour l’en­vi­ron­ne­ment dome­stique intel­li­gent à usa­ge général
17.Pro­duits pour une mai­son intel­li­gen­te avec des fonc­tions de sécu­ri­té, y com­pris des serr­ures de por­te intel­li­gen­tes, des camé­ras de sécu­ri­té, des systè­mes de sur­veil­lan­ce pour bébés et des alarmes.
18.les jou­ets con­nec­tés à l’in­ter­net rele­vant de la direc­ti­ve 2009/48/CE du Par­le­ment euro­pé­en et du Con­seil (1 ) et dotés de fonc­tions d’in­ter­ac­tion socia­le (par­ler ou fil­mer, par exemp­le) ou de localisation
19.les dis­po­si­tifs por­ta­bles desti­nés à la sur­veil­lan­ce de la san­té (par exemp­le, le sui­vi) qui ne sont pas cou­verts par les règle­ments (UE) 2017/745 ou (UE) 2017/746, ou les dis­po­si­tifs por­ta­bles desti­nés à être uti­li­sés par et pour les enfants

Clas­se II

1.hyper­vi­seurs et systè­mes d’exé­cu­ti­on de con­teneurs prenant en char­ge l’exé­cu­ti­on vir­tua­li­sée de systè­mes d’ex­plo­ita­ti­on et d’en­vi­ron­ne­ments similaires
2.Pare-feu, systè­mes de détec­tion d’in­tru­si­on et systè­mes de pré­ven­ti­on d’intrusion
3.micro­pro­ce­s­seurs inviolables
4.micro­con­trô­leurs inviolables
(1) Direc­ti­ve 2009/48/CE du Par­le­ment euro­pé­en et du Con­seil du 18 juin 2009 rela­ti­ve à la sécu­ri­té des jou­ets (JO L 170 du 30.6.2009, p. 1).

Anne­xe IV Pro­duits cri­ti­ques con­tenant des élé­ments numériques

1. les dis­po­si­tifs maté­ri­els avec boîtiers de sécu­ri­té 2) les pas­se­rel­les pour comp­teurs intel­li­gents dans les systè­mes intel­li­gents de mesu­re au sens de l’ar­tic­le 2, point 23, de la direc­ti­ve (UE) 2019/944 du Par­le­ment euro­pé­en et du Con­seil (1 ), ain­si que d’aut­res dis­po­si­tifs à des fins de sécu­ri­té avan­cées, y com­pris le trai­te­ment cryp­to­gra­phi­que sécu­ri­sé 3) les car­tes à puce ou dis­po­si­tifs simi­lai­res, y com­pris les élé­ments de sécu­ri­té
(1) Direc­ti­ve (UE) 2019/944 du Par­le­ment euro­pé­en et du Con­seil du 5 juin 2019 con­cer­nant des règles com­mu­nes pour le mar­ché inté­ri­eur de l’élec­tri­ci­té et modi­fi­ant la direc­ti­ve 2012/27/UE (JO L 158 du 14.6.2019, p. 125).

Anne­xe V Décla­ra­ti­on de con­for­mi­té UE

La décla­ra­ti­on de con­for­mi­té UE visée à l’ar­tic­le 28 con­ti­ent tous les élé­ments sui­vants :
1.le nom et le type ain­si que tou­te infor­ma­ti­on sup­p­lé­men­tai­re per­met­tant d’i­den­ti­fier clai­re­ment le pro­duit avec des élé­ments numériques
2.le nom et l’adres­se du fab­ri­cant ou de son mandataire
3.une décla­ra­ti­on indi­quant que le four­nis­seur est seul responsable de l’é­ta­blis­se­ment de la décla­ra­ti­on de con­for­mi­té UE
4.l’ob­jet de la décla­ra­ti­on (dési­gna­ti­on du pro­duit avec des élé­ments numé­ri­ques pour la tra­ça­bi­li­té, avec pho­to le cas échéant)
5.une décla­ra­ti­on selon laquel­le l’ob­jet de la décla­ra­ti­on décrit ci-des­sus est con­for­me à la légis­la­ti­on d’har­mo­ni­sa­ti­on de l’U­ni­on appli­ca­ble en la matière
6.les réfé­ren­ces aux nor­mes har­mo­ni­sées per­ti­nen­tes ou aux aut­res spé­ci­fi­ca­ti­ons com­mu­nes uti­li­sées ou à la cer­ti­fi­ca­ti­on en matiè­re de cyber­sé­cu­ri­té pour laquel­le la con­for­mi­té est déclarée
7.le cas échéant, le nom et le numé­ro d’i­den­ti­fi­ca­ti­on de l’or­ga­nis­me noti­fié, une descrip­ti­on de la pro­cé­du­re d’éva­lua­ti­on de la con­for­mi­té sui­vie et le numé­ro d’i­den­ti­fi­ca­ti­on du cer­ti­fi­cat délivré
8.aut­res informations :
Signé pour et au nom de : (lieu et date de déliv­rance) (nom, fonc­tion) (signa­tu­re) :

Anne­xe VI Décla­ra­ti­on sim­pli­fi­ée de con­for­mi­té UE

La décla­ra­ti­on UE sim­pli­fi­ée de con­for­mi­té visée à l’ar­tic­le 13, para­gra­phe 20, est libel­lée com­me suit : Par la pré­sen­te, … [nom du fab­ri­cant] décla­re que le type de pro­duit con­tenant des élé­ments numé­ri­ques … [dési­gna­ti­on du type de pro­duit con­tenant des élé­ments numé­ri­ques] est con­for­me au règle­ment (UE) 2024/2847 (1). Le tex­te inté­gral de la décla­ra­ti­on de con­for­mi­té UE peut être con­sul­té à l’adres­se Inter­net sui­van­te : …
(1) JO L, 2024/2847, 20.11.2024, ELI : http://data.europa.eu/eli/reg/2024/2847/oj.

Anne­xe VII Con­te­nu de la docu­men­ta­ti­on technique

La docu­men­ta­ti­on tech­ni­que visée à l’ar­tic­le 31 con­ti­ent au moins les infor­ma­ti­ons sui­van­tes, dans la mesu­re où elles sont per­ti­nen­tes pour le pro­duit numé­ri­que en que­sti­on :
1.une descrip­ti­on géné­ra­le du pro­duit com­prenant des élé­ments numé­ri­ques, notamment
a) sa destination,
b) les ver­si­ons de logi­ciels qui ont une inci­dence sur le respect des exi­gen­ces de base en matiè­re de cybersécurité,
c) lorsque le pro­duit con­tenant des élé­ments numé­ri­ques est un pro­duit maté­ri­el : pho­to­gra­phies ou illu­stra­ti­ons mon­trant les carac­té­ri­sti­ques exté­ri­eu­res, le mar­quage et la struc­tu­re interne ;
d) les infor­ma­ti­ons et les ins­truc­tions desti­nées aux uti­li­sa­teurs, con­for­mé­ment à l’an­ne­xe II ;
2.une descrip­ti­on de la con­cep­ti­on, du déve­lo­p­pe­ment et de la fab­ri­ca­ti­on du pro­duit con­tenant des élé­ments numé­ri­ques et des pro­cé­du­res de trai­te­ment des vul­né­ra­bi­li­tés, y compris
a) des infor­ma­ti­ons néces­saires sur la con­cep­ti­on et le déve­lo­p­pe­ment du pro­duit, accom­pa­gnées d’é­lé­ments numé­ri­ques, de dessins et de sché­mas, le cas échéant, et/ou d’u­ne descrip­ti­on de l’ar­chi­tec­tu­re du système mon­trant com­ment les com­po­sants logi­ciels s’ar­ti­cu­lent ent­re eux, inter­agis­sent et s’in­tègrent dans le trai­te­ment global ;
b) des infor­ma­ti­ons et spé­ci­fi­ca­ti­ons néces­saires con­cer­nant les pro­cé­du­res de gesti­on des vul­né­ra­bi­li­tés adop­tées par le fab­ri­cant, y com­pris la nomen­cla­tu­re des logi­ciels, l’appro­che de la divul­ga­ti­on coor­don­née des vul­né­ra­bi­li­tés, la preuve de la mise à dis­po­si­ti­on d’u­ne adres­se de cont­act pour la noti­fi­ca­ti­on des vul­né­ra­bi­li­tés et une descrip­ti­on des solu­ti­ons tech­ni­ques adop­tées pour la dif­fu­si­on sécu­ri­sée des mises à jour ;
c) des infor­ma­ti­ons et des spé­ci­fi­ca­ti­ons néces­saires con­cer­nant les pro­ce­s­sus de fab­ri­ca­ti­on et de con­trô­le du pro­duit avec des élé­ments numé­ri­ques et la vali­da­ti­on de ces processus ;
3.une éva­lua­ti­on des ris­ques de cyber­sé­cu­ri­té pris en comp­te lors de la con­cep­ti­on, du déve­lo­p­pe­ment, de la fab­ri­ca­ti­on, de la four­ni­tu­re et de l’en­tre­ti­en du pro­duit con­tenant des élé­ments numé­ri­ques visé à l’ar­tic­le 13, y com­pris la mesu­re dans laquel­le les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie I, s’appliquent ;
4.les infor­ma­ti­ons per­ti­nen­tes pri­ses en comp­te pour déter­mi­ner la péri­ode de sou­ti­en con­for­mé­ment à l’ar­tic­le 13, para­gra­phe 8, du pro­duit con­tenant des élé­ments numériques ;
5.une liste des nor­mes har­mo­ni­sées dont les réfé­ren­ces ont été publiées au Jour­nal offi­ci­el de l’U­ni­on euro­pé­en­ne, des spé­ci­fi­ca­ti­ons com­mu­nes visées à l’ar­tic­le 27 du pré­sent règle­ment ou des sché­mas euro­pé­ens de cer­ti­fi­ca­ti­on en cyber­sé­cu­ri­té visés à l’ar­tic­le 27, para­gra­phe 8, du pré­sent règle­ment, adop­tés con­for­mé­ment au règle­ment (UE) 2019/881, appli­qués en tota­li­té ou en par­tie, et, en l’ab­sence de tel­les nor­mes har­mo­ni­sées, spé­ci­fi­ca­ti­ons com­mu­nes et sché­mas euro­pé­ens de cer­ti­fi­ca­ti­on en cyber­sé­cu­ri­té, des descrip­ti­ons des solu­ti­ons adop­tées pour satis­fai­re aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­ties I et II, ain­si qu’u­ne liste des aut­res spé­ci­fi­ca­ti­ons tech­ni­ques per­ti­nen­tes appli­quées. En cas d’uti­li­sa­ti­on par­ti­el­le de nor­mes har­mo­ni­sées, de spé­ci­fi­ca­ti­ons com­mu­nes ou de sché­mas euro­pé­ens pour la cer­ti­fi­ca­ti­on en matiè­re de cyber­sé­cu­ri­té, la docu­men­ta­ti­on tech­ni­que pré­cise quel­les par­ties ont été appliquées ;
6.les rap­ports sur les essais et les con­trô­les effec­tués pour véri­fier la con­for­mi­té du pro­duit, avec les élé­ments numé­ri­ques et les pro­cé­du­res de trai­te­ment des vul­né­ra­bi­li­tés, aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té appli­ca­bles énon­cées à l’an­ne­xe I, par­ties I et II ;
7.un exem­plai­re de la décla­ra­ti­on de con­for­mi­té UE ;
8.le cas échéant, sur deman­de moti­vée de l’au­to­ri­té de sur­veil­lan­ce du mar­ché, la nomen­cla­tu­re des logi­ciels, si cela est néces­saire pour per­mett­re à cet­te auto­ri­té de véri­fier la con­for­mi­té aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I.

Anne­xe VIII Pro­cé­du­res d’éva­lua­ti­on de la conformité

Par­tie I Pro­cé­du­res d’éva­lua­ti­on de la con­for­mi­té sur la base du con­trô­le inter­ne (sur la base du modu­le A)
1.Le con­trô­le inter­ne est la pro­cé­du­re d’éva­lua­ti­on de la con­for­mi­té par laquel­le le fab­ri­cant rem­plit les obli­ga­ti­ons défi­nies aux points 2, 3 et 4 de la pré­sen­te par­tie et assu­re et décla­re sous sa seu­le responsa­bi­li­té que les pro­duits con­tenant des élé­ments numé­ri­ques sont con­for­mes à tou­tes les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie I, et que le fab­ri­cant respec­te les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie II.
2.Le fab­ri­cant éta­blit la docu­men­ta­ti­on tech­ni­que con­for­mé­ment à l’an­ne­xe VII.
3.Con­cep­ti­on, déve­lo­p­pe­ment, fab­ri­ca­ti­on et trai­te­ment des vul­né­ra­bi­li­tés des pro­duits con­tenant des élé­ments numériques
Le fab­ri­cant prend tou­tes les mesu­res néces­saires pour que les pro­ce­s­sus de con­cep­ti­on, de déve­lo­p­pe­ment, de fab­ri­ca­ti­on et de gesti­on des vul­né­ra­bi­li­tés, ain­si que leur con­trô­le, garan­tis­sent la con­for­mi­té des pro­duits fab­ri­qués ou déve­lo­p­pés con­tenant des élé­ments numé­ri­ques et des pro­ce­s­sus étab­lis par le fab­ri­cant avec les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­ties I et II.
4.Mar­quage de con­for­mi­té et décla­ra­ti­on de conformité
4.1.Le fab­ri­cant appo­se le mar­quage “CE” sur chaque pro­duit indi­vi­du­el com­portant des élé­ments numé­ri­ques qui satis­fait aux exi­gen­ces appli­ca­bles énon­cées dans le pré­sent règlement.
4.2.Pour chaque pro­duit numé­ri­que, le fab­ri­cant éta­blit une décla­ra­ti­on UE écri­te de con­for­mi­té con­for­mé­ment à l’ar­tic­le 28 et la tient, accom­pa­gnée de la docu­men­ta­ti­on tech­ni­que, à la dis­po­si­ti­on des auto­ri­tés natio­na­les pen­dant une péri­ode de dix ans à comp­ter de la mise sur le mar­ché du pro­duit numé­ri­que ou pen­dant la péri­ode de sou­ti­en, si cel­le-ci est plus longue. La décla­ra­ti­on UE de con­for­mi­té doit pré­cis­er le pro­duit numé­ri­que pour lequel elle a été éta­b­lie. Une copie de la décla­ra­ti­on UE de con­for­mi­té est mise à la dis­po­si­ti­on des auto­ri­tés com­pé­ten­tes à leur demande.
5.Man­da­tai­re
Les obli­ga­ti­ons du fab­ri­cant visées au point 4 peu­vent être rem­plies par son man­da­tai­re, en son nom et sous sa responsa­bi­li­té, pour autant que les obli­ga­ti­ons per­ti­nen­tes soi­ent spé­ci­fi­ées dans le mandat. 
Par­tie II Examen de type UE (sur la base du modu­le B)
1.L’ex­amen UE de type est la par­tie d’u­ne pro­cé­du­re d’éva­lua­ti­on de la con­for­mi­té par laquel­le un orga­nis­me noti­fié exami­ne et véri­fie la con­cep­ti­on et le déve­lo­p­pe­ment tech­ni­ques d’un pro­duit numé­ri­que et les pro­cé­du­res de gesti­on des vul­né­ra­bi­li­tés éta­b­lies par le fab­ri­cant, puis cer­ti­fie qu’un pro­duit numé­ri­que est con­for­me aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie I, et que le fab­ri­cant satis­fait aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie II.
2.L’ex­amen UE de type con­si­ste à éva­luer l’a­dé­qua­ti­on de la con­cep­ti­on tech­ni­que et du déve­lo­p­pe­ment du pro­duit avec des élé­ments numé­ri­ques, sur la base de l’ex­amen de la docu­men­ta­ti­on tech­ni­que et des preu­ves sup­p­lé­men­tai­res visées au point 3, ain­si que de l’ex­amen d’é­chan­til­lons d’u­ne ou de plu­sieurs par­ties importan­tes du pro­duit (com­bi­nai­son d’é­chan­til­lons de cons­truc­tion et de conception).
3.La deman­de d’ex­amen UE de type est intro­duite par le fab­ri­cant auprès d’un seul orga­nis­me noti­fié de son choix.
La deman­de con­ti­ent
3.1.le nom et l’adres­se du fab­ri­cant et, si la deman­de est intro­duite par un man­da­tai­re, le nom et l’adres­se de ce dernier ;
3.2.une décla­ra­ti­on écri­te selon laquel­le la même deman­de n’a pas été intro­duite auprès d’un aut­re orga­nis­me notifié ;
3.3.la docu­men­ta­ti­on tech­ni­que per­met­tant d’éva­luer la con­for­mi­té du pro­duit inté­grant des élé­ments numé­ri­ques aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té appli­ca­bles énon­cées à l’an­ne­xe I, par­tie I, et les pro­cé­du­res de trai­te­ment des vul­né­ra­bi­li­tés mises en œuvre par le fab­ri­cant con­for­mé­ment à l’an­ne­xe I, par­tie II ; elle doit éga­le­ment com­porter une ana­ly­se et une éva­lua­ti­on appro­priées des ris­ques. La docu­men­ta­ti­on tech­ni­que énumè­re les exi­gen­ces appli­ca­bles et cou­vre la con­cep­ti­on, la fab­ri­ca­ti­on et le fonc­tion­ne­ment du pro­duit inté­grant des élé­ments numé­ri­ques, dans la mesu­re où ces élé­ments sont per­tin­ents pour l’éva­lua­ti­on. Le cas échéant, la docu­men­ta­ti­on tech­ni­que con­ti­ent au moins les élé­ments énu­mé­rés à l’an­ne­xe VII ;
3.4.des preu­ves sup­p­lé­men­tai­res de l’a­dé­qua­ti­on des solu­ti­ons de con­cep­ti­on et de déve­lo­p­pe­ment tech­ni­ques et des pro­cé­du­res de trai­te­ment des points fai­bles. Ces preu­ves sup­p­lé­men­tai­res men­ti­on­nent tous les docu­ments uti­li­sés, en par­ti­cu­lier lorsque les nor­mes har­mo­ni­sées ou les spé­ci­fi­ca­ti­ons tech­ni­ques per­ti­nen­tes n’ont pas été plei­ne­ment appli­quées. Les preu­ves com­pren­nent, si néces­saire, les résul­tats d’es­sais effec­tués par un labo­ra­toire appro­prié du fab­ri­cant ou par un aut­re labo­ra­toire d’es­sai en son nom et sous sa responsabilité.
4.L’or­ga­nis­me notifié
4.1.exami­ne la docu­men­ta­ti­on tech­ni­que et les preu­ves sup­p­lé­men­tai­res afin d’éva­luer la con­for­mi­té de la con­cep­ti­on tech­ni­que et du déve­lo­p­pe­ment du pro­duit con­tenant des élé­ments numé­ri­ques avec les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie I, et la con­for­mi­té des pro­cé­du­res de trai­te­ment des vul­né­ra­bi­li­tés éta­b­lies par le fab­ri­cant avec les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie II ;
4.2.véri­fie que le ou les échan­til­lons ont été con­çus ou fab­ri­qués con­for­mé­ment à la docu­men­ta­ti­on tech­ni­que, quels sont les élé­ments qui ont été con­çus et mis au point con­for­mé­ment aux dis­po­si­ti­ons appli­ca­bles des nor­mes har­mo­ni­sées ou des spé­ci­fi­ca­ti­ons tech­ni­ques per­ti­nen­tes et quels sont les élé­ments qui ont été con­çus et mis au point sans appli­ca­ti­on des dis­po­si­ti­ons per­ti­nen­tes de ces normes
4.3.effec­tue ou fait effec­tuer les con­trô­les appro­priés et les essais néces­saires pour véri­fier si, dans le cas où le fab­ri­cant a choi­si d’ap­pli­quer les solu­ti­ons indi­quées dans les nor­mes har­mo­ni­sées ou les spé­ci­fi­ca­ti­ons tech­ni­ques per­ti­nen­tes, cel­les-ci ont été appli­quées cor­rec­te­ment en ce qui con­cer­ne les exi­gen­ces visées à l’an­ne­xe I
4.4.effec­tue ou fait effec­tuer les examens et essais appro­priés pour véri­fier si les solu­ti­ons adop­tées par le fab­ri­cant satis­font aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té cor­re­spond­an­tes, lorsque le fab­ri­cant n’a pas appli­qué les solu­ti­ons pré­vues par les nor­mes har­mo­ni­sées per­ti­nen­tes ou par les spé­ci­fi­ca­ti­ons tech­ni­ques rela­ti­ves aux exi­gen­ces énon­cées à l’an­ne­xe I
4.5.con­vi­ent avec le fab­ri­cant de l’en­droit où les examens et les essais seront effectués.
5.L’or­ga­nis­me noti­fié éta­blit un rap­port d’éva­lua­ti­on des acti­vi­tés réa­li­sées con­for­mé­ment au point 4 et de leurs résul­tats. Sans pré­ju­di­ce de ses obli­ga­ti­ons envers les auto­ri­tés noti­fi­an­tes, l’or­ga­nis­me noti­fié ne publie le con­te­nu de ce rap­port, ou une par­tie de celui-ci, qu’a­vec l’ac­cord du fabricant.
6.Lorsque le type et la pro­cé­du­re de trai­te­ment des vul­né­ra­bi­li­tés satis­font aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, l’or­ga­nis­me noti­fié déli­v­re au fab­ri­cant une atte­sta­ti­on d’ex­amen UE de type. L’at­te­sta­ti­on com­por­te le nom et l’adres­se du fab­ri­cant, les con­clu­si­ons de l’ex­amen, les con­di­ti­ons éven­tu­el­les de sa vali­di­té et les don­nées néces­saires à l’i­den­ti­fi­ca­ti­on du type approu­vé et de la pro­cé­du­re de trai­te­ment des vul­né­ra­bi­li­tés. Une ou plu­sieurs anne­xes peu­vent être join­tes à l’attestation.
Le cer­ti­fi­cat et ses anne­xes con­ti­en­nent tou­tes les infor­ma­ti­ons per­ti­nen­tes per­met­tant d’éva­luer la con­for­mi­té des pro­duits fab­ri­qués ou déve­lo­p­pés con­tenant des élé­ments numé­ri­ques avec le type exami­né et la con­for­mi­té des pro­cé­du­res de trai­te­ment des vul­né­ra­bi­li­tés et, le cas échéant, de pro­cé­der à un con­trô­le après leur mise en ser­vice. Lorsque le type et les pro­cé­du­res de trai­te­ment des vul­né­ra­bi­li­tés ne sont pas con­for­mes aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té appli­ca­bles énon­cées à l’an­ne­xe I, l’or­ga­nis­me noti­fié refu­se de déli­v­rer une atte­sta­ti­on d’ex­amen UE de type et en infor­me le deman­deur, en moti­vant son refus de maniè­re détail­lée.
7.L’or­ga­nis­me noti­fié se tient infor­mé de tou­tes les modi­fi­ca­ti­ons de l’é­tat de la tech­ni­que géné­ra­le­ment recon­nu qui indi­quent que le type approu­vé et les pro­cé­du­res de trai­te­ment des vul­né­ra­bi­li­tés ne satis­font plus aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té appli­ca­bles énon­cées à l’an­ne­xe I, et déci­de si ces modi­fi­ca­ti­ons néces­si­tent des inve­sti­ga­ti­ons com­plé­men­tai­res. Si tel est le cas, l’or­ga­nis­me noti­fié en infor­me le fabricant.
Le fab­ri­cant infor­me l’or­ga­nis­me noti­fié qui déti­ent la docu­men­ta­ti­on tech­ni­que rela­ti­ve à l’at­te­sta­ti­on d’ex­amen UE de type de tou­tes les modi­fi­ca­ti­ons appor­tées au type approu­vé et à la pro­cé­du­re de trai­te­ment des vul­né­ra­bi­li­tés qui pour­rai­ent com­pro­mett­re la con­for­mi­té aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I ou aux con­di­ti­ons de vali­di­té de l’at­te­sta­ti­on. De tel­les modi­fi­ca­ti­ons néces­si­tent une appro­ba­ti­on sup­p­lé­men­tai­re sous la for­me d’un com­plé­ment à l’at­te­sta­ti­on initia­le d’ex­amen UE de type.
8.L’or­ga­nis­me noti­fié procè­de régu­liè­re­ment à des audits afin de s’assurer que les pro­cé­du­res de trai­te­ment des vul­né­ra­bi­li­tés visées à l’an­ne­xe I, par­tie II, sont mises en œuvre de maniè­re adéquate.
9.Chaque orga­nis­me noti­fié infor­me ses auto­ri­tés noti­fi­an­tes des atte­sta­ti­ons d’ex­amen UE de type et de leurs com­plé­ments qu’il a déli­v­rés ou reti­rés et leur trans­met, péri­odi­quement ou sur deman­de, la liste de tou­tes les atte­sta­ti­ons et de leurs com­plé­ments qu’il a refusés, sus­pen­dus ou sou­mis à d’aut­res restrictions.
Chaque orga­nis­me noti­fié infor­me les aut­res orga­nis­mes noti­fi­és des atte­sta­ti­ons d’ex­amen UE de type et de leurs com­plé­ments qu’il a refusés, reti­rés, sus­pen­dus ou sou­mis à d’aut­res rest­ric­tions et, sur deman­de, des atte­sta­ti­ons et de leurs com­plé­ments qu’il a déli­v­rés. Sur deman­de, la Com­mis­si­on, les États mem­bres et les aut­res orga­nis­mes noti­fi­és reçoi­vent une copie des atte­sta­ti­ons d’ex­amen UE de type et de leurs com­plé­ments éven­tuels. La Com­mis­si­on et les États mem­bres reçoi­vent, sur deman­de, une copie de la docu­men­ta­ti­on tech­ni­que et des résul­tats des examens effec­tués par l’or­ga­nis­me noti­fié. L’or­ga­nis­me noti­fié con­ser­ve une copie des atte­sta­ti­ons d’ex­amen UE de type, de leurs anne­xes et com­plé­ments, ain­si que du dos­sier tech­ni­que, y com­pris la docu­men­ta­ti­on four­nie par le fab­ri­cant, jus­qu’à ce que la péri­ode de vali­di­té de l’at­te­sta­ti­on expi­re.
10.Le fab­ri­cant tient à la dis­po­si­ti­on des auto­ri­tés natio­na­les une copie de l’at­te­sta­ti­on d’ex­amen UE de type, de ses anne­xes et com­plé­ments, ain­si que la docu­men­ta­ti­on tech­ni­que, pen­dant une durée de dix ans à comp­ter de la mise sur le mar­ché du pro­duit numé­ri­que ou pen­dant la péri­ode d’as­si­stance, si cel­le-ci est plus longue.
11.Le man­da­tai­re du fab­ri­cant peut intro­dui­re la deman­de visée au point 3 et s’ac­quit­ter des obli­ga­ti­ons visées aux points 7 et 10 si les obli­ga­ti­ons per­ti­nen­tes sont énon­cées dans le mandat.
Par­tie III Con­for­mi­té au type sur la base du con­trô­le inter­ne de la fab­ri­ca­ti­on (sur la base du modu­le C)
1.La con­for­mi­té au type sur la base du con­trô­le inter­ne de la fab­ri­ca­ti­on est la par­tie de la pro­cé­du­re d’éva­lua­ti­on de la con­for­mi­té par laquel­le le fab­ri­cant rem­plit les obli­ga­ti­ons défi­nies aux points 2 et 3 de la pré­sen­te par­tie, et assu­re et décla­re que les pro­duits con­cer­nés con­tenant des élé­ments numé­ri­ques sont con­for­mes au type décrit dans le cer­ti­fi­cat d’ex­amen UE de type et satis­font aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie I, et qu’il respec­te les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie II.
2.Pro­duc­tion
Le fab­ri­cant prend tou­tes les mesu­res néces­saires pour que la con­for­mi­té des pro­duits manu­fac­tu­rés con­tenant des élé­ments numé­ri­ques au type approu­vé décrit dans l’at­te­sta­ti­on d’ex­amen UE de type et aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie I, soit assu­rée par la fab­ri­ca­ti­on et le con­trô­le de cel­le-ci, et veil­le à ce qu’il soit satis­fait aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie II.
3.Mar­quage de con­for­mi­té et décla­ra­ti­on de conformité
3.1.Le fab­ri­cant appo­se le mar­quage CE sur chaque pro­duit numé­ri­que indi­vi­du­el qui est con­for­me au type décrit dans l’at­te­sta­ti­on d’ex­amen UE de type et qui satis­fait aux exi­gen­ces appli­ca­bles défi­nies dans le pré­sent règlement.
3.2.Le fab­ri­cant éta­blit une décla­ra­ti­on écri­te de con­for­mi­té pour un modè­le de pro­duit et la tient à la dis­po­si­ti­on des auto­ri­tés natio­na­les pen­dant une durée de dix ans à comp­ter de la mise sur le mar­ché du pro­duit inté­grant des élé­ments numé­ri­ques ou pen­dant la péri­ode de sou­ti­en, si cel­le-ci est plus longue. La décla­ra­ti­on de con­for­mi­té doit pré­cis­er le modè­le de pro­duit pour lequel elle a été éta­b­lie. Une copie de la décla­ra­ti­on de con­for­mi­té est mise à la dis­po­si­ti­on des auto­ri­tés com­pé­ten­tes à leur demande.
4.Repré­sen­tant autorisé
Les obli­ga­ti­ons du fab­ri­cant visées au point 3 peu­vent être rem­plies par son man­da­tai­re, en son nom et sous sa responsa­bi­li­té, pour autant que les obli­ga­ti­ons per­ti­nen­tes soi­ent spé­ci­fi­ées dans le mandat. 
Par­tie IV Con­for­mi­té sur la base de l’assu­rance qua­li­té com­plè­te (sur la base du modu­le H)
1.La con­for­mi­té sur la base de l’assu­rance com­plè­te de la qua­li­té est la pro­cé­du­re d’éva­lua­ti­on de la con­for­mi­té par laquel­le le fab­ri­cant rem­plit les obli­ga­ti­ons défi­nies aux points 2 et 5 et assu­re et décla­re sous sa seu­le responsa­bi­li­té que les pro­duits ou caté­go­ries de pro­duits numé­ri­ques con­cer­nés sont con­for­mes aux exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie I, et que les pro­cé­du­res de gesti­on des vul­né­ra­bi­li­tés mises en place par le fab­ri­cant sont con­for­mes aux exi­gen­ces essen­ti­el­les énon­cées à l’an­ne­xe I, par­tie II.
2.Con­cep­ti­on, déve­lo­p­pe­ment, fab­ri­ca­ti­on et trai­te­ment des vul­né­ra­bi­li­tés des pro­duits con­tenant des élé­ments numériques
Le fab­ri­cant met en œuvre un système de qua­li­té approu­vé, com­me spé­ci­fié au point 3, pour la con­cep­ti­on, le déve­lo­p­pe­ment, l’in­spec­tion fina­le et les essais des pro­duits con­cer­nés inté­grant des élé­ments numé­ri­ques, ain­si que pour le trai­te­ment des points fai­bles, main­ti­ent son effi­ca­ci­té pen­dant la péri­ode de sou­ti­en et est sou­mis à la sur­veil­lan­ce visée au point 4.
3.Système d’assu­rance qualité
3.1.Le fab­ri­cant intro­duit une deman­de d’éva­lua­ti­on de son système de qua­li­té auprès d’un orga­nis­me noti­fié de son choix, pour les pro­duits con­cer­nés con­tenant des élé­ments numériques.
La deman­de con­ti­ent
a) le nom et l’adres­se du fab­ri­cant et, si la deman­de est intro­duite par un man­da­tai­re, le nom et l’adres­se de ce dernier ;
b) la docu­men­ta­ti­on tech­ni­que pour un modè­le de chaque caté­go­rie de pro­duits à fab­ri­quer ou à déve­lo­p­per con­tenant des élé­ments numé­ri­ques ; la docu­men­ta­ti­on tech­ni­que con­ti­ent, le cas échéant, au moins les élé­ments énu­mé­rés à l’an­ne­xe VII ;
c) la docu­men­ta­ti­on rela­ti­ve au système d’assu­rance qualité ;
d) une décla­ra­ti­on écri­te selon laquel­le la même deman­de n’a pas été intro­duite auprès d’un aut­re orga­nis­me notifié.
3.2.Le système d’assu­rance qua­li­té garan­tit la con­for­mi­té du pro­duit con­tenant des élé­ments numé­ri­ques avec les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie I, et la con­for­mi­té des pro­cé­du­res de trai­te­ment des vul­né­ra­bi­li­tés éta­b­lies par le fab­ri­cant avec les exi­gen­ces essen­ti­el­les énon­cées à l’an­ne­xe I, par­tie II.
Tous les élé­ments, exi­gen­ces et dis­po­si­ti­ons adop­tés par le fab­ri­cant doi­vent être réunis de maniè­re sys­té­ma­tique et ordon­née dans une docu­men­ta­ti­on sous la for­me de poli­ti­ques, de pro­cé­du­res et d’ins­truc­tions écri­tes. Cet­te docu­men­ta­ti­on sur le système de qua­li­té per­met une inter­pré­ta­ti­on uni­for­me des pro­gram­mes, plans, manu­els et enre­gi­stre­ments rela­tifs à la qua­li­té. Elle com­prend en par­ti­cu­lier une descrip­ti­on adé­qua­te des points sui­vants
a) des objec­tifs de qua­li­té, de l’or­ga­ni­gram­me, des responsa­bi­li­tés des cad­res et de leurs pou­voirs en matiè­re de con­cep­ti­on, de déve­lo­p­pe­ment, de qua­li­té des pro­duits et de trai­te­ment des points faibles
b) les spé­ci­fi­ca­ti­ons tech­ni­ques de con­cep­ti­on et de déve­lo­p­pe­ment, y com­pris les nor­mes appli­quées, et, lorsque les nor­mes har­mo­ni­sées ou les spé­ci­fi­ca­ti­ons tech­ni­ques per­ti­nen­tes ne sont pas plei­ne­ment appli­quées, les moy­ens mis en œuvre pour garan­tir le respect des exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie I, qui s’ap­pli­quent aux pro­duits com­portant des élé­ments numériques ;
c) les spé­ci­fi­ca­ti­ons de pro­cé­dé, y com­pris les nor­mes appli­quées, et, lorsque les nor­mes har­mo­ni­sées ou les spé­ci­fi­ca­ti­ons tech­ni­ques per­ti­nen­tes ne sont pas entiè­re­ment appli­quées, les moy­ens mis en œuvre pour garan­tir que les exi­gen­ces essen­ti­el­les de cyber­sé­cu­ri­té énon­cées à l’an­ne­xe I, par­tie II, qui s’ap­pli­quent au fab­ri­cant sont respectées ;
d) les tech­ni­ques de con­trô­le de la con­cep­ti­on et du déve­lo­p­pe­ment, ain­si que les tech­ni­ques de véri­fi­ca­ti­on des résul­tats de la con­cep­ti­on et du déve­lo­p­pe­ment, les pro­cé­dés et les actions sys­té­ma­ti­ques qui seront uti­li­sés lors de la con­cep­ti­on et du déve­lo­p­pe­ment des pro­duits inté­grant des élé­ments numé­ri­ques appar­tenant à la caté­go­rie de pro­duits concernée ;
e) les tech­ni­ques, les pro­ce­s­sus et les actions sys­té­ma­ti­ques cor­re­spond­ants qui seront uti­li­sés pour la fab­ri­ca­ti­on, la maîtri­se de la qua­li­té et l’assu­rance de la qualité ;
f) des con­trô­les et des essais qui seront effec­tués avant, pen­dant et après la fab­ri­ca­ti­on, et de la fré­quence à laquel­le ils auront lieu
g) les enre­gi­stre­ments rela­tifs à la qua­li­té, tels que les rap­ports de con­trô­le, les don­nées d’es­sai et d’é­ta­lon­na­ge et les rap­ports sur les qua­li­fi­ca­ti­ons du per­son­nel employé dans ce domaine ;
h) des moy­ens per­met­tant de sur­veil­ler la réa­li­sa­ti­on de l’ob­jec­tif de qua­li­té de la con­cep­ti­on et des pro­duits ain­si que le fonc­tion­ne­ment effi­cace du système de qualité.
3.3.L’or­ga­nis­me noti­fié éva­lue le système de qua­li­té pour déter­mi­ner s’il répond aux exi­gen­ces visées au point 3.2.
Elle pré­su­me la con­for­mi­té à ces exi­gen­ces pour les élé­ments du système de qua­li­té qui sont con­for­mes aux spé­ci­fi­ca­ti­ons cor­re­spond­an­tes de la nor­me natio­na­le trans­po­sant la nor­me har­mo­ni­sée per­ti­nen­te ou aux spé­ci­fi­ca­ti­ons tech­ni­ques per­ti­nen­tes. Out­re son expé­ri­ence des systè­mes de gesti­on de la qua­li­té, l’é­qui­pe d’au­dit com­prend au moins un membre expé­ri­men­té en matiè­re d’éva­lua­ti­on dans le domaine et la tech­no­lo­gie con­cer­nés du pro­duit et ayant une con­nais­sance des exi­gen­ces appli­ca­bles défi­nies dans le pré­sent règle­ment. L’au­dit com­prend une visi­te d’in­spec­tion dans les locaux du fab­ri­cant, s’il en exi­ste. L’é­qui­pe d’au­di­teurs exami­ne la docu­men­ta­ti­on tech­ni­que visée au point 3.1 b) afin de s’assurer de la capa­ci­té du fab­ri­cant à iden­ti­fier les exi­gen­ces appli­ca­bles défi­nies dans le pré­sent règle­ment et à réa­li­ser les examens néces­saires pour garan­tir la con­for­mi­té du pro­duit avec des élé­ments numé­ri­ques à ces exi­gen­ces. La décis­i­on est noti­fi­ée au fab­ri­cant ou à son man­da­tai­re. La noti­fi­ca­ti­on con­ti­ent les résul­tats de l’au­dit et la justi­fi­ca­ti­on de la décis­i­on d’éva­lua­ti­on.
3.4.Le fab­ri­cant s’en­ga­ge à rem­plir les obli­ga­ti­ons décou­lant du système de qua­li­té approu­vé et à fai­re en sor­te qu’il reste adé­quat et efficace.
3.5.Le fab­ri­cant infor­me l’or­ga­nis­me noti­fié qui a approu­vé le système de qua­li­té de tout pro­jet de modi­fi­ca­ti­on de ce système.
L’or­ga­nis­me noti­fié éva­lue les modi­fi­ca­ti­ons pro­po­sées et déci­de si le système de qua­li­té modi­fié répon­dra enco­re aux exi­gen­ces visées au point 3.2 ou si une rééva­lua­ti­on est néces­saire. Il noti­fie sa décis­i­on au fab­ri­cant. La noti­fi­ca­ti­on con­ti­ent les con­clu­si­ons du con­trô­le et la justi­fi­ca­ti­on de la décis­i­on d’éva­lua­ti­on.
4.Sur­veil­lan­ce sous la responsa­bi­li­té de l’or­ga­nis­me notifié
4.1.Le but de la sur­veil­lan­ce est de s’assurer que le fab­ri­cant rem­plit cor­rec­te­ment les obli­ga­ti­ons décou­lant du système de qua­li­té approuvé.
4.2.Le fab­ri­cant auto­ri­se l’or­ga­nis­me noti­fié à accé­der, à des fins d’éva­lua­ti­on, aux lieux de con­cep­ti­on, de fab­ri­ca­ti­on, d’in­spec­tion, d’es­sai et de stocka­ge et lui four­nit tou­te infor­ma­ti­on néces­saire, notamment
a) la docu­men­ta­ti­on sur le système d’assu­rance qualité,
b) les dos­siers de qua­li­té pré­vus dans la par­tie du système de qua­li­té con­sacrée à la con­cep­ti­on, tels que les résul­tats des ana­ly­ses, des cal­culs et des essais,
c) les dos­siers de qua­li­té pré­vus dans la par­tie du système de qua­li­té con­sacrée à la fab­ri­ca­ti­on, tels que les rap­ports d’in­spec­tion et les don­nées d’es­sais et d’é­ta­lon­na­ge, les rap­ports sur la qua­li­fi­ca­ti­on du per­son­nel concerné.
4.3.L’or­ga­nis­me noti­fié procè­de régu­liè­re­ment à des audits pour s’assurer que le fab­ri­cant main­ti­ent et appli­que le système de qua­li­té et four­nit un rap­port d’au­dit au fabricant.
5.Mar­quage de con­for­mi­té et décla­ra­ti­on de conformité
5.1.Le fab­ri­cant appo­se le mar­quage “CE” et, sous la responsa­bi­li­té de l’or­ga­nis­me noti­fié visé au para­gra­phe 3.1, le numé­ro d’i­den­ti­fi­ca­ti­on de ce der­nier sur chaque pro­duit numé­ri­que indi­vi­du­el qui satis­fait aux exi­gen­ces énon­cées à l’an­ne­xe I, par­tie I. Le mar­quage “CE” est appo­sé sur chaque pro­duit numé­ri­que indi­vi­du­el qui satis­fait aux exi­gen­ces énon­cées à l’an­ne­xe I, par­tie II.
5.2.Le fab­ri­cant éta­blit une décla­ra­ti­on écri­te de con­for­mi­té pour chaque modè­le de pro­duit et la tient à la dis­po­si­ti­on des auto­ri­tés natio­na­les pen­dant une durée de dix ans à comp­ter de la mise sur le mar­ché du pro­duit numé­ri­que ou pen­dant la péri­ode d’as­si­stance, si cel­le-ci est plus longue. La décla­ra­ti­on de con­for­mi­té doit pré­cis­er le modè­le de pro­duit pour lequel elle a été établie.
Une copie de la décla­ra­ti­on de con­for­mi­té est mise à la dis­po­si­ti­on des auto­ri­tés com­pé­ten­tes sur deman­de.
6.Le fab­ri­cant tient à la dis­po­si­ti­on des auto­ri­tés natio­na­les, pen­dant une péri­ode d’au moins dix ans après la mise sur le mar­ché du pro­duit numé­ri­que ou pen­dant la péri­ode d’as­si­stance si cel­le-ci est plus longue, les docu­ments suivants :
a) la docu­men­ta­ti­on tech­ni­que visée au point 3.1,
b) la docu­men­ta­ti­on sur le système de qua­li­té visé au point 3.1,
c) la modi­fi­ca­ti­on visée au point 3.5 tel­le qu’el­le a été approuvée,
d) les décis­i­ons et rap­ports de l’or­ga­nis­me noti­fié visés aux points 3.5 et 4.3.
7.Chaque orga­nis­me noti­fié infor­me ses auto­ri­tés noti­fi­an­tes des appro­ba­ti­ons de systè­mes de qua­li­té qu’il a déli­v­rées ou reti­rées et leur trans­met, péri­odi­quement ou sur deman­de, la liste des appro­ba­ti­ons de systè­mes de qua­li­té qu’il a refusées, sus­pen­dues ou sou­mi­ses à d’aut­res restrictions.
Chaque orga­nis­me noti­fié infor­me les aut­res orga­nis­mes noti­fi­és des appro­ba­ti­ons de systè­mes de qua­li­té qu’il a refusées, sus­pen­dues ou reti­rées et, sur deman­de, des appro­ba­ti­ons de systè­mes de qua­li­té qu’il a déli­v­rées.
8.Repré­sen­tant autorisé
Les obli­ga­ti­ons du fab­ri­cant visées aux points 3.1, 3.5, 5 et 6 peu­vent être rem­plies par son man­da­tai­re, en son nom et sous sa responsa­bi­li­té, pour autant que les obli­ga­ti­ons per­ti­nen­tes soi­ent spé­ci­fi­ées dans le mandat.